Java-Sicherheitslücke: Schwachstelle für Malware in alter Java-Runtime
kg, den 7. Dezember 2009
Java-Sicherheitslücke in Mac OS X: Wer das in der letzten Woche veröffentlichte Java-Update noch nicht installiert hat, sollte dies schleunigst tun. Ein Sicherheitsforscher hat den Beweis angestellt, dass sich in der alten Java-Version eine Lücke befindet, die sich für Attacken ausnutzen lässt. Schuld sind offenbar Fehler in der Java-Runtime-Umgebung, über die sich auch aus der Entfernung Schadcode ausführen lässt.
Der Forscher, Kevin Finisterre, hatte seine Erkenntnisse an Apple weitergegeben, um sie darauf aufmerksam zu machen – does geschah bereits Anfang November, drei Tage nachdem Sun für Windows, Linux und Solaris ein entsprechendes Patch bereitgestellt hat.
Der betreffende Code steht mittlerweile öffentlich zur Verfügung, der Exploit an sich ist derzeit aber eher bruchstückhaft. Betroffene Nutzer ohne aktuelles Patch werden mögliche Angriffe durch Browserabstürze bemerken, potentielle Angreifer können unter anderem Dateien von der Festplatte löschen.
Die browserinterne Sicherheitsprüfung hilft gegen die schadhaften Java-Applets übrigens nicht zwangsläufig: Es ist durchaus möglich, Applets starten zu lassen, ohne das der User diesem zustimmen muss.
Das generelle Sicherheitsrisiko dieser Lücke ist übrigens gering, dennoch empfiehlt es sich, bei unbekannten Java-Applets vorsichtig zu sein bzw. einfach das aktuellste Sicherheitsupdate einzuspielen.