186431

Java-Exploit wird für Angriffe ausgenutzt

15.04.2010 | 15:59 Uhr |

Die kürzlich bekannt gewordene Sicherheitslücke im Browser-Plugin für Java (JRE) ist inzwischen Bestandteil mindestens eines Angriffsbaukastens. Sie wird auf kompromittierten Websites eingesetzt, um Malware einzuschleusen. Ein Update für Java ist bereits verfügbar.

Auch die bis gestern aktuelle Version Java 6 Update 19 (6u19) der Java Laufzeitumgebung JRE enthält eine Schwachstelle, die sich zum Einschleusen schädlicher Programme eignet . Nicht nur das - die Lücke wird auch bereits für derartige Angriffe im Web ausgenutzt. Legitime Websites sind gehackt und manipuliert worden, um den Exploit-Code auf Besucher der Websites los zu lassen.

Roger Thomson vom Antivirushersteller AVG, der das erste Beispiel solcher Attacken auf Internet-Nutzer entdeckt hat, berichtet in seinem Blog über die kompromittierte Website songlyrics.com . Mit Liedtexten von Rihanna, Usher, Lady Gaga, Miley Cyrus und anderen angelockt, werden die Besucher der Website Opfer eines Exploit-Kits namens "Crimepack", das ein Trojanisches Pferd von einem russischen Server lädt. Weitere manipulierte Websites werden zweifellos hinzu kommen.

Doch Oracle, Eigner des Java-Herstellers Sun , hat inzwischen reagiert und die neue Version Java 6 Update 20 (6u20, 1.6.0_20) bereit gestellt, welche die Sicherheitslücke allem Anschein nach beseitigt. Wer Java in seinem Browser (egal, welchem Browser) installiert hat, sollte umgehend die neue Java-Version installieren und Java bis dahin abschalten.

0 Kommentare zu diesem Artikel
186431