Oracle stopft Java-Zero-Day-Lücke

Mit dem Juli-Update für zahlreiche Programme schließt Oracle insgesamt 193 Sicherheitslücken, darunter auch die von Trend Micro entdeckte Zero-Day-Lücke in Java. Des weiteren betreffen die Aktualisierungen Schwachstellen in den Produkten Oracle Database, Fusion Middleware, Hyperion, Enterprise Manager, E-Business Suite, Supply Chain Suite, PeopleSoft Enterprise, Siebel CRM, Communications Applications, Sun Systems Products Suite, Oracle Linux, Oracle Virtualization sowie MySQL.

Allein für Java stellt das Unternehmen 25 Korrekturen bereit, von denen sich 23 remote und ohne Authentifizierung ausnutzen lassen. 16 Updates beschränken sich auf Clients, fünf betreffen Clients und Server und ein Fix behebt ein Problem bei der Installation von Java SE.

Auf die Gefährlichkeit der von Trend Micro entdecken Zero-Day-Lücke in Java weist Oracle besonderes hin: “Bitte beachten! Dieses kritische Update adressiert auch einen eben bekannt gewordenen Zero-Day-Fehler (CVE-2015-2590), der auch schon ausgenutzt wird”, erklärt Eric Maurice von Oracle in einem Blog.

Trend Micro hatte vor wenigen Tagen bei einer weiteren Analyse der Malware-Kampagne Pawn Storm eine bisher unbekannte Sicherheitslücke in Oracle Java entdeckt. Nach Angaben des Sicherheitsanbieters ist es die erste Zero-Day-Lücke in der Laufzeitumgebung seit fast zwei Jahren. Der Fehler steckt allerdings nur in der aktuellen Java-Version 8 Update 45. Die älteren Releases Java 6 und Java 7 sind nicht betroffen.

Die Schwachstelle erlaube es den Angreifern, Schadcode einzuschleusen und auszuführen und damit die Sicherheit eines betroffenen Systems zu kompromittieren. Bei den Angriffen der Hintermänner von Pawn Storm auf Nato-Mitglieder sowie das Weiße Haus im April dieses Jahres sei die Java-Lücke allerdings noch nicht zum Einsatz gekommen. Außerdem gebe es keine Verbindung zwischen der Java-Lücke und den Schwachstellen in Adobe Flash Player, die zuletzt in Unterlagen von Hacking Team entdeckt worden seien.

Im aktuellen Angriffsversuch haben die Cyberspione gezielt E-Mails an Militärs aus einem NATO-Mitgliedsland und Empfänger in einer Verteidigungseinrichtung in den USA gesandt. Wegen der individualisierten Ansprache der möglichen Opfer heißt diese Methode in Anlehnung an das Speerfischen auch „Spearphishing“. In diese E-Mails waren Webadressen eingebettet, die auf verseuchte Webseiten führen. Wer auf diesen Trick hereinfällt und die Seite öffnet (Stufe 1 des Angriffs), lädt einen Schädling herunter, einen so genannten Exploit, der die genannte Java-Sicherheitslücke ausnutzt. Einmal ausgeführt, lädt der Schädling eine weitere bösartige Datei herunter, ein so genanntes trojanisches Pferd (Stufe 2). Wird diese ausgeführt, lädt sich eine weitere Schädlingskomponente herunter, die Infektion mit der Spionagesoftware „SEDNIT“ ist komplett (Stufe 3). Solche mehrstufigen Angriffe haben zum Ziel, dass der Angriff möglichst lange unentdeckt bleibt. Nur wenn eine Stufe erfolgreich ist und keine Abwehrmaßnahmen ergriffen werden, zündet die jeweils nächste Stufe.

Browser-Plug-ins wie Java, Flash Player oder Silverlight sind ein sehr beliebtes Angriffsziel von Hackern. Nutzer, die darauf nicht angewiesen sind, sollten diese deaktiveren oder zumindest so einstellen, dass sie Inhalte nicht automatisch ausführen, sondern erst die Zustimmung des Anwenders einholen. Dieses als „Click-To-Play“ bekannte Feature bieten unter anderen Firefox und Chrome.

Download:

• Adobe Flash Player 18.0.0.209
• Java Runtime Environment 8.0 Update 51
• Uninstaller für Flash Player
• Uninstaller für Java

[Mit Material von Martin Schindler, silicon.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de