Java weiter unter schwerem Beschuss

Die Sicherheitsfirma Explorations hat Oracle am Montag über zwei neue Sicherheitslücken in Java informiert. Laut dem Proof of Concept ist es durch die Kombination beider Lücken möglich, die Java-Sandbox zu umgehen. Auf diese Weise können Angreifer Schadcode in anfällige Systeme einschleusen und ausführen. Der Chef von Explorations, Gowdiak meinte dazu auf Softpedia, dass in diesem Fall die „Reflection API auf sehr interessante Weise“ ausgenutzt werde. Inzwischen hat Oracle dem Sicherheitsunternehmen mitgeteilt, dass der Sicherheitsreport nachvollzogen wurde und das Unternehmen die Sicherheitslücke schließen werde.

Die Sicherheitsfirma Rapid7 berichtet, dass ein Metasploit-Modul für Lücken in Java 7u11 im Umlauf sei. Entsprechende Exploits für Java 7u11 in Exploit Kits wie Cool EK und Popads seien bereits integriert worden. Diese Schadcodes suchen die Systeme automatisch nach bekannten Sicherheitslücken ab und ähnelt damit in der Methodik an den jüngst bekanntgewordenen Angriff auf Sparkasse.de. Um nicht Opfer dieser hocheffizienten Schädlinge zu werden, sollten Nutzer also dringend das letzte Java-Sicherheitsupdate installieren.

Angesichts des dauerhaften Sicherheitsrisikos ist es allerdings am vernünftigsten, auf das hochriskante Plugin ganz zu verzichten. Bei der aktuellen Java-Version schalten Sie das Browser-Plugin in der Systemsteuerung über das Java-Applet ab. Gehen Sie auf die Registerkarte „Sicherheit“, entfernen Sie das Häkchen vor „Java-Content im Browser aktivieren“, und klicken Sie auf „OK“. Starten Sie dann den Browser neu.