1665809

Neue Java 0-Day-Lücke wird ausgenutzt

11.01.2013 | 16:11 Uhr |

Auch die neueste JRE-Version, Java 7 Update 10, ist anfällig für Angriffe, die eine kürzlich bekannt gewordene Schwachstelle in dem Browser-Plugin ausnutzen. Der Exploit-Code ist bereits in den gängigen Angriffsbaukästen enthalten.

Ende August 2012 hat Oracle mit Java 7 Update 7 ein Sicherheits-Update bereit gestellt, das etliche Schwachstellen behoben hat. Darunter ist auch eine Sicherheitslücke, die zu diesem Zeitpunkt bereits für Angriffe auf breiter Front genutzt wurde. Java 7 Update 9 hat im Oktober 30 weitere Schwachstellen beseitigt. Jetzt ist erneut eine Java-Lücke dadurch bekannt geworden, dass sie bei Web-Angriffen ausgenutzt wird.

Die neue Java-Schwachstelle ist als eine Art Neujahrsgeschenk in dem weit verbreiteten Angriffsbaukasten Blackhole Exploit Kit enthalten. Auch andere Exploit Kits wie Cool Kit, Nuclear Kit, Redkit oder Sakura nutzen die neue Lücke bereit fleißig. Es werden täglich viele neue Web-Seiten entdeckt, die mit der als "CVE-2013-0422" bekannten Lücke auf die Jagd nach Opfern gehen.

Auch die neueste Java-Version, Java 7 Update 10, ist anfällig für Angriffe auf diese Schwachstelle. Daher können wir nur dringend dazu raten Java im Browser zu deaktivieren. Java 7 Update 10 macht dies wesentlich einfacher als frühere Versionen. Sie können Java im Browser einfach über die Windows-Systemsteuerung abschalten.

Java 7 Update 10 konfigurieren
Vergrößern Java 7 Update 10 konfigurieren

In der Systemsteuerung gibt es ein Konfigurations-Applet, das schlicht "Java" heißt (oder auch "Java (32-Bit)"). Darin öffnen Sie die Karteikarte "Sicherheit" und entfernen gleich den ersten Haken bei "Java-Content im Browser aktivieren". Durch diese Maßnahme werden Java-Applets nicht mehr im Browser ausgeführt, Sie können Java jedoch weiterhin für lokal installierte Anwendungen nutzen.

Oracles nächster regulärer Update-Termin für Java ist erst am 19. Februar. Es ist zu hoffen, dass Oracle auch dieses Mal ein Einsehen hat und umgehend ein Update bereit stellt. Bis dahin sollte Java im Browser abgeschaltet bleiben.

0 Kommentare zu diesem Artikel
1665809