Java-Sicherheitslücken trotz Notfall-Patch nicht behoben

5. März 2013, 11:42
13 Postings

Sicherheitsforscher haben erneut Sicherheitsmängel festgestellt

Die Sicherheitslücke in Java, die bereits zu massivem Missbrauch geführt hat, soll laut Ars Technica nun behoben worden sein. Am Montag brachte Oracle ein Notfall-Update für CVE-2013-1493, einer Lücke, die bereits seit längerer Zeit bekannt ist, aber noch nicht geschlossen wurde. In der Zwischenzeit wurden auch Facebook, Apple und andere Unternehmen Opfer einer Watering Hole Attacke, die die Lücke ausnutzt.

Update in der Nacht

Der Notfall-Patch ist entweder manuell über die Website von Oracle verfügbar oder kann automatisch über das Auto-Update-Feature eingespielt werden. Der von FireEye als "McRat" bezeichnete Trojaner, der durch die Sicherheitslücke eingeschleust werden kann, betrifft die Versionen 6 bis Update 41 und Java 7 bis Update 15. Mac OS Nutzer erhalten das Update für Java 6 direkt von Apple. Das Update wurde bereits in der Nacht auf Dienstag zur Verfügung gestellt, zu finden für Snow Leopard als "Java for Mac OS X 10.6 Update 14". Für Lion und Mountain Lion steht "Java for OS X 2013-002" bereit. Für Java 7 muss der Umweg über Oracle gegangen werden.

Erneute Sicherheitsbedenken

Oracle wurde angeblich bereits am ersten Februar über die Sicherheitslücke informiert, für die Integration der Behebung in den Februar-Patch war es aber bereits zu spät. Für die Version 6 soll es sich um das letzte Update handeln. Wie Heise schreibt, ist es mit dem Notfall-Patch an Sicherheit aber immer noch nicht getan. Es wird also nach wie vor empfohlen, Java völlig zu deinstallieren oder nur für wichtige und unausweichliche Arbeitsschritte zu aktiveren. Der Sicherheitsforscher Adam Gowdiak hat nämlich auch im neuesten Update bereits Lücken entdeckt. Laut ihm lässt sich die Java-Sandbox über zwei Wege mit speziell präparierten Web-Applets austricksen. (iw, derStandard.at, 5.3.2013)

Links:

Oracle

Heise

Share if you care.