Categories: SicherheitSicherheitsmanagement

Trend Micro entdeckt Zero-Day-Lücke in Java

Trend Micro hat bei der weiteren Analyse der Malware-Kampagne Pawn Storm eine bisher unbekannte Sicherheitslücke in Oracle Java entdeckt. Nach Angaben des Sicherheitsanbieters ist es die erste Zero-Day-Lücke in der Laufzeitumgebung seit fast zwei Jahren. Der Fehler steckt allerdings nur in der aktuellen Java-Version 8 Update 45. Die älteren Releases Java 6 und Java 7 sind nicht betroffen.

Die Java-Lücke sowie ein dafür entwickelter Exploit werden einem Eintrag im Trend-Micro-Blog zufolge derzeit gegen die Streitkräfte eines Nato-Staats sowie eine US-Verteidigungsorganisation eingesetzt. Das „Smart Protection Network“ des Unternehmens habe in E-Mails gefährliche URLs entdeckt, die Nutzer auf eine Website weiterleiteten, die den Exploit hosten.

Die Schwachstelle erlaube es den Angreifern, Schadcode einzuschleusen und auszuführen und damit die Sicherheit eines betroffenen Systems zu kompromittieren. Bei den Angriffen der Hintermänner von Pawn Storm auf Nato-Mitglieder sowie das Weiße Haus im April dieses Jahres sei die Java-Lücke allerdings noch nicht zum Einsatz gekommen. Außerdem gebe es keine Verbindung zwischen der Java-Lücke und den Schwachstellen in Adobe Flash Player, die zuletzt in Unterlagen von Hacking Team entdeckt worden seien.

Trend Micro hat Oracle bereits über die Sicherheitslücke informiert. Java-Nutzern empfiehlt das Unternehmen, die Laufzeitumgebung in ihren Browsern zu deaktivieren.

Schon Ende vergangener Woche, also vor Bekanntwerden der Anfälligkeit, kündigte Oracle ein Java-Update an. Es soll morgen im Lauf des Tages im Rahmen des Juli-Patchdays erscheinen. Oracle stellt Sicherheitsupdates planmäßig nur vierteljährlich im Januar, April, Juli und Oktober zur Verfügung.

Ob das Java-Update aber auch einen Fix für die Zero-Day-Lücke enthält, ist nicht bekannt. Einer Vorankündigung zufolge stecken in Oracle-Produkten wie Java, Datenbanken, Fusion Middleware, Enterprise Manager und MySQL insgesamt 193 Anfälligkeiten.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Share
Published by
Stefan Beiersmann
Tags: JavaSicherheit
9 Jahren ago

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

28 Minuten ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

4 Stunden ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

13 Stunden ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

1 Tag ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

1 Tag ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

2 Tagen ago