Mac-OS-X-Trojaner Flashback nutzt neue Java-Lücke aus

F-Secure hat eine Variante des als Flashback bekannten Mac-OS-X-Trojaners entdeckt, die eine noch nicht behobene Schwachstelle in Java (CVE-2012-0507) ausnutzt. Bisher drang die Malware hauptsächlich über Schwachstellen ein, für die es schon Patches gab.

Die zuerst im September 2011 entdeckte Malware wurde als angeblicher Flash-Player verbreitet und bekam so ihren Namen. In den vergangenen Monaten ging sie dazu über, Macs über ältere Java-Lücken anzugreifen. Sie injiziert Code in Web-Browser oder andere Anwendungen des Systems. Beim späteren Start dieser Programme kontaktiert der Trojaner seine Kommandoserver und versucht, Screenshots sowie persönliche Informationen zu senden.


Flashback fragt nach einem Passwort. Erhält er es nicht, kann er sich immer noch über die Benutzerkonten installieren (Bild: F-Secure).

Macs mit installiertem Java sind schon gefährdet, wenn sie eine entsprechend präparierte Webseite mit Java-Applets besuchen. Die Malware kennt zwei verschiedene Wege, um sich zu installieren. Sie gibt vor, ein Update ausführen zu wollen und verlangt nach dem Kennwort eines Administrator-Accounts. Bekommt sie es, injiziert sie ihren Schadcode in Zielprogramme im Anwendungsordner. Erhält sie kein Passwort, kann sie sich immer noch über die Benutzerkonten installieren.

Apples integrierter Virenscanner XProtect erkennt zwar einige frühere Flashback-Varianten, aber nicht Dateien, die von der Java-Laufzeitumgebung ausgeführt werden. Zusammen mit der nicht behobenen Java-Schwachstelle erscheint das bedenklich. Die meisten aktuellen Mac-Systeme sind allerdings nicht betroffen, da Apple Java seit Mac OS X 10.6 Snow Leopard nicht mehr zusammen mit dem Betriebssystem ausliefert. Ist Java jedoch auf einem System installiert, besteht der einzig wirksame Schutz derzeit darin, Java zu deaktivieren. Das kann in den Sicherheitseinstellungen von Safari oder in den Einstellungen von Java selbst erfolgen.

Auch wenn neue Macs in ihrer Standardkonfiguration nicht gefährdet sind, zeigen sich hier die Risiken, die durch plattformübergreifende Laufzeitumgebungen wie Java entstehen. Werden Schwachstellen wie die hier ausgenutzte entdeckt, kommen oft Exploit-Kits wie Blackhole in Umlauf, die Tools und Code für eine relativ einfache Entwicklung von Malware bereitstellen. Selbst wenn die Schwachstelle für eine Laufzeit-Plattform behoben ist, öffnet die verzögerte Entwicklung für andere Plattformen – wie etwa bei Java für OS X – den Angreifern ein längeres Zeitfenster für ihre Malware-Angriffe.

[mit Material von Topher Kessler, News.com]

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago