Java: Neuer 0-Day-Exploit – für 5000 US-Dollar verkauft

Kein Kommentar Autor: Jürgen (jdo)

Java Logo 150x150Brian Krebs berichtet von einer weitere 0-Day-Sicherheitslücke in Oracles Java, die nur 24 Stunden nach Java 7 Update 11 aufgetaucht ist. Darin wurde eine Sicherheitslücke geschlossen, mit dem man einen Windows-Rechner unter seine Kontrolle bringen konnte. Allerdings fehlt derzeit noch jede Bestätigung, ob die Lücke auch echt ist und was sie tut. In einem exklusiven Cybercrime-Forum soll der Finder den Exploit an 2 Personen für je 5000 US-Dollar verkauft haben (mehr Leute bekommen die Code nicht und es ist wohl schon 2x verkauft). Krebs glaubt an die Echtheit, da man sich für diesen Preis in dem mysteriösen Forum nicht unbeliebt machen möchte – vor allen Dingen, da ein Administrator das Angebot geschrieben hatte und er es sich nicht leisten könne, seinen Ruf zu verlieren.

Nun muss man allerdings differenzieren und darf nicht gleich komplett Java verteufeln. Die neue 0-Day-Lücke lässt sich wohl auch nur ausnutzen, wenn ein Java-Applet im Browser aufgerufen wird. Von daher sollten Anwender Java-Plugins deaktiviert lassen, wenn sie diese nicht unbedingt brauchen. Ich hatte mir bei der letzten Lücke schon überlegt, einen Java-fähigen Browser in eine Gummizelle (virtuelle Maschine) zu legen. Für eine Sache brauche ich das Plugin im Browser und ich vergesse gerne, es wieder zu deaktivieren. Nach der erneuten Lücke, werde ich eine Mini-Distribution in eine VM legen. Eigentlich sollten java Aplets an sich in einer Sandbox laufen, aber aus dieser lässt sich wohl immer wieder ausbrechen. Verbannen wir den Sandkasten eben in einen Spielplatz – dann müsste man schon doppelt ausbrechen.

Was auch nicht bekannt ist, ob ältere Java-Versionen anfällig für die Sicherheitslücke sind. Ob OpenJDK betroffen ist … keine Ahnung … Lange Rede kurzer Sinn – Java im Browser deaktivieren, bis da Licht im Dunkel ist!!!

 




 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.