Trend Micro entdeckt Zero-Day-Lücke in Java

Trend Micro hat bei der weiteren Analyse der Malware-Kampagne Pawn Storm eine bisher unbekannte Sicherheitslücke in Oracle Java entdeckt. Nach Angaben des Sicherheitsanbieters ist es die erste Zero-Day-Lücke in der Laufzeitumgebung seit fast zwei Jahren. Der Fehler steckt allerdings nur in der aktuellen Java-Version 8 Update 45. Die älteren Releases Java 6 und Java 7 sind nicht betroffen.

Die Java-Lücke sowie ein dafür entwickelter Exploit werden einem Eintrag im Trend-Micro-Blog zufolge derzeit gegen die Streitkräfte eines Nato-Staats sowie eine US-Verteidigungsorganisation eingesetzt. Das „Smart Protection Network“ des Unternehmens habe in E-Mails gefährliche URLs entdeckt, die Nutzer auf eine Website weiterleiteten, die den Exploit hosten.

Die Schwachstelle erlaube es den Angreifern, Schadcode einzuschleusen und auszuführen und damit die Sicherheit eines betroffenen Systems zu kompromittieren. Bei den Angriffen der Hintermänner von Pawn Storm auf Nato-Mitglieder sowie das Weiße Haus im April dieses Jahres sei die Java-Lücke allerdings noch nicht zum Einsatz gekommen. Außerdem gebe es keine Verbindung zwischen der Java-Lücke und den Schwachstellen in Adobe Flash Player, die zuletzt in Unterlagen von Hacking Team entdeckt worden seien.

Trend Micro hat Oracle bereits über die Sicherheitslücke informiert. Java-Nutzern empfiehlt das Unternehmen, die Laufzeitumgebung in ihren Browsern zu deaktivieren.

Schon Ende vergangener Woche, also vor Bekanntwerden der Anfälligkeit, kündigte Oracle ein Java-Update an. Es soll morgen im Lauf des Tages im Rahmen des Juli-Patchdays erscheinen. Oracle stellt Sicherheitsupdates planmäßig nur vierteljährlich im Januar, April, Juli und Oktober zur Verfügung.

Ob das Java-Update aber auch einen Fix für die Zero-Day-Lücke enthält, ist nicht bekannt. Einer Vorankündigung zufolge stecken in Oracle-Produkten wie Java, Datenbanken, Fusion Middleware, Enterprise Manager und MySQL insgesamt 193 Anfälligkeiten.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de