Categories: SicherheitSoftware

Zero-Day-Lücke in Java entdeckt

Sicherheitsforscher haben eine Lücke in Oracles Java gefunden, die Hacker bereits aktiv ausnutzen. Zuerst hatte der Blog „Malware Don’t Need Coffee“ den Fehler gemeldet. Inzwischen wurde die Existenz der Schwachstelle auch von AlienVault Labs bestätigt. Eine Stellungnahme von Oracle steht noch aus.

„Das könnte zu Chaos führen“, schreibt der Autor des Blogs, der sich selbst „Kafeine“ nennt. Beispiele für Schadcode, mit dem sich die Lücke ausnutzen lasse, seien inzwischen in mehreren bekannten Exploit-Kits enthalten, darunter auch „Blackhole“. Kafeine selbst beschreibt die Anfälligkeit detailliert in seinem Blog.

Jaime Blasco, Sicherheitsforscher bei AlienVault Labs, konnte den Fehler nach eigenen Angaben in einer vollständig gepatchten Java-Installation nachvollziehen. „Die Java-Datei ist sehr gut verschleiert.“ Eine kurze Analyse des Exploits habe gezeigt, dass er Sicherheitsprüfungen umgehe, indem er Genehmigungen bestimmter Java-Klassen vortäusche, schreibt Blasco in einem Blogeintrag.

Der Exploit sei identisch mit dem Schadcode, der im vergangenen Jahr für Angriffe auf Zero-Day-Lücken in Internet Explorer, Java und Flash verwendet worden sei. Ein Hacker könne, wenn ein Opfer einem manipulierten Link folge, praktisch die vollständige Kontrolle über dessen Computer übernehmen. „Wir erwarten, dass in den kommenden Tagen auch ein Metasploit-Modul erscheinen wird. Die meisten Exploits Kits werden die neue Lücke eher früher als später aufnehmen.“

Kafeine und Blasco empfehlen allen betroffen Nutzern, das Java-Plug-in zu deaktivieren. „Das ist derzeit der einzige Schutz gegen diesen Exploit“, schreibt Blasco.

Oracle wollte sich auf Nachfrage durch TechWeekEurope nicht zu der Zero-Day-Lücke äußern. Der nächste reguläre Patchday des Unternehmens findet am 15. Januar statt. Es ist allerdings nicht davon auszugehen, dass Oracle bis dahin einen Fix entwickeln und so gründlich testen kann, dass er für den produktiven Einsatz geeignet ist. Bis zum übernächsten Patchday am 16. April wird Oracle aber wohl auch nicht warten können.

Der Fehler in der aktuellen Java-Version lässt sich missbrauchen, um beliebige Anwendungen wie beispielsweise den Taschenrechner zu starten (ScreenShot: AlienVault Labs).

[mit Material von Tom Brewster, TechWeekEurope]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago