Noch mehr Sicherheitslücken in Java

Die Sicherheitsfirma FireEye berichtet von der Entdeckung einer neuen kritischen Sicherheitslücke in der aktuellen Java-Version. Im Gegensatz zu vielen anderen Sicherheitslücken erlaubt diese den Angreifern auf den Speicher der Java Virtual Machine (JVM) zuzugreifen und dort Prozesse zu lesen und zu verändern. Der Angreifer sucht den Bereich, in dem festgelegt wird, ob der Sicherheitsmanager aktiv ist. Dieser wird anschließend vom Schadprogramm mit „0“ überschrieben und damit deaktiviert. Da der Sicherheitsmanager die Funktion hat, Zugriffe von Web-Applets auf das System zu verhindern, kann dann ungehindert Schadsoftware in Form einer JAR-Datei über das Internet heruntergeladen und ausgeführt werden.

Die Sicherheitsexperten von FireEye beschreiben den Angriffscode allerdings noch als unausgereift und unzuverlässig, da er nicht gezielt vorgeht, sondern die Datenblöcke zu großflächig im Speicher überschreibt. Allerdings sei es nur eine Frage der Zeit, bis der Code optimiert wird.

Oracle hat die Sicherheitslücke inzwischen bestätigt und ihr die Nummer CVE-2013-1493 zugewiesen. Betroffen sind die Java-Version 7 Update 15, Version 6 Update 41 und frühere Versionen. Der Versionszweig 6 wird jedoch nicht mehr mit Sicherheitsupdates versorgt. Nutzern ist also dringend zu empfehlen, auf Java 7 zu wechseln.

So schützen Sie sich
Oracle hat die Sicherheitslücke mit Java 7 Update 17 beseitigt. Laden Sie die aktuelle Java-Version über http://java.com/de/ herunter und installieren Sie das Update. Wenn das Autoupdate für Java aktiviert ist, erhalten Sie eine Info über jede neue Version, die Sie auch gleich installieren können.

Wenn Sie das Java-Plug-in im Browser nicht benötigen, gehen Sie in der Systemsteuerung und auf „Java“. Auf der Registerkarte „Sicherheit“ entfernen Sie das Häkchen vor „Java im Browser deaktivieren“ und klicken auf „OK“.

Nutzer von Firefox verwenden alternativ ein Add-on, über das sich das Java-Plug-in bei Bedarf schnell aktivieren und wieder deaktivieren lässt, beispielsweise QuickJava. Wenn Sie lieber explizit zustimmen möchten, wenn eine Webseite Java oder andere Plug-ins verwenden will, installieren Sie Enable Click to Play.