Erneut kritische Sicherheitsheitslücke in Java gefunden

von

Bereits Anfang des Jahres traf Mac-Nutzer, die Java auf ihrem System installiert hatten, eine weitreichende Sicherheitslücke. Jetzt ist eine neue Lücke in Java 7 entdeckt worden, die es dem Angreifer erlaubt beliebigen Code auf dem Rechner des Besuchers ausführen kann.

Erneut kritische Sicherheitsheitslücke in Java gefunden

Betroffen ist laut ComputerWorld Java 7 Update 6, welches von Oracle selbst vertrieben und aktualisiert wird. Apple ist nur bis Java 6 für Updates verantwortlich. Seit OS X 10.7 Lion ist Java nicht mehr Bestandteil von OS X. Besucht ein Nutzer jedoch eine Seite, die Java voraussetzt, wird um eine Installation gebeten.

Zur Infektion genügt das Besuchen einer speziell präparierten Website. Die Lücke erlaubt es einem Angreifer beliebigen Code auf dem Zielsystem zu installieren und auszuführen. Es ist bereits Beispielcode verfügbar, welcher die Problematik demonstriert. Aktuell wird die Lücke bereits ausgenutzt, um den Trojaner Poison Ivy zu verbreiten. Dieser wird allerdings von den meisten Antivirus-Programmen erkannt.

Tod Beardsley vom Metasploit-Projekt empfiehlt die Deaktivierung von Java im Browser oder die vollständige Deinstallation von Java 7. Dazu muss im Ordner “/Library/Java/JavaVirtualMachines/” die Datei “1.7.0.jdk” gelöscht werden.

Das nächste reguläre Update von Java ist für den 16. Oktober geplant. Oracle selbst hat sich bislang nicht zu der Sicherheitslücke geäußert. Es ist also nicht bekannt, ob und wann man das Problem außer der Reihe beseitigen wird.

Betroffen sind nicht nur OS X, sondern auch Windows und Linux, vorausgesetzt Java 7 ist auf dem System installiert. Weitere Details zu der Sicherheitslücke finden sich bei DeepEnd Research und CVE.


Kommentare zu diesem Artikel

Neue Artikel von GIGA APPLE

Anzeige
GIGA Marktplatz