Java Zero Day Exploit im Umlauf

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6562

11.01.2013 - 15:22

Falls ihr es noch nicht mitbekommen habt, wiedermal treibt eine ungepatchte Java Sicherheitslücke ihr Unwesen in den Weiten des Internets und sie wird auch schon aktiv ausgenutzt!

Ich empfehle jedem bis zum Update 7_11, welches im Februar erscheinen soll, umgehend das Java Plugin zu deaktivieren. Wer den Internet Explorer verwendet, sollte es überhaupt deinstallieren.

Mehr dazu hier:
http://www.heise.de/newsticker/meld...on-1780850.html

http://www.kb.cert.org/vuls/id/625617

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

11.01.2013 - 15:34

Hast du ne Ahnung ob OSX auch betroffen ist ? Das was ich jetzt gefunden hab ist nur auf Win ausgerichtet. (Ich hab Java sowieso blockiert, aber interessant wärs)

edit: Er funzt anscheinend auf Linux/OSX genauso, aber es gibt atm anscheinend nur Windows-Payload.

Bearbeitet von Hansmaulwurf am 11.01.2013, 15:38

tinker

SQUEAK

Registered: Nov 2005
Location: NÖ
Posts: 5251

11.01.2013 - 15:44

danke!

grond

---------

Registered: Aug 2004
Location: 8401
Posts: 3198

11.01.2013 - 15:46

ok wie surft ihr normal wenn ihr alle javascript deaktiviert habts? gibt es irgendeine Möglichkeit (firefox)für gewisse Seiten JS zu aktivieren aber allgemein ausgeschalten zu lassen?

enforcer

What?

Registered: Apr 2001
Location: Mäder / Vlbg
Posts: 2423

11.01.2013 - 15:50

ich hab noscript.

betrifft übrigens definitiv alle plattformen:
laut metasploit:

Code:

            'Targets'       =>
                [
                    [ 'Generic (Java Payload)',
                        {
                            'Platform' => ['java'],
                            'Arch' => ARCH_JAVA,
                        }
                    ],
                    [ 'Windows x86 (Native Payload)',
                        {
                            'Platform' => 'win',
                            'Arch' => ARCH_X86,
                        }
                    ],
                    [ 'Mac OS X x86 (Native Payload)',
                        {
                            'Platform' => 'osx',
                            'Arch' => ARCH_X86,
                        }
                    ],
                    [ 'Linux x86 (Native Payload)',
                        {
                            'Platform' => 'linux',
                            'Arch' => ARCH_X86,
                        }
                    ],
                ],

AdRy

Auferstanden

Registered: Oct 2002
Location: Wien
Posts: 5239

11.01.2013 - 15:54

Zitat von grond
ok wie surft ihr normal wenn ihr alle javascript deaktiviert habts? gibt es irgendeine Möglichkeit (firefox)für gewisse Seiten JS zu aktivieren aber allgemein ausgeschalten zu lassen?

hier gehts um JAVA nicht javaSCRIPT

ist die lücke nur im update 10 oder auch in früheren versionen schon drinnen?

evrmnd

OC Addicted

Registered: Nov 2002
Location:
Posts: 3534

11.01.2013 - 15:55

Über javascript geht da ja nix oder? man muss erst ein java applet erlauben?
Ich verwende eh auch ScriptSafe.

grond

---------

Registered: Aug 2004
Location: 8401
Posts: 3198

11.01.2013 - 15:56

okok sry einfach den noob ignorieren

enforcer

What?

Registered: Apr 2001
Location: Mäder / Vlbg
Posts: 2423

11.01.2013 - 16:00

Zitat von AdRy
ist die lücke nur im update 10 oder auch in früheren versionen schon drinnen?

Alle 7er Versionen gehen.

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

11.01.2013 - 16:12

Zitat von enforcer
Alle 7er Versionen gehen.

Lustigerweise die drunter nicht

Also 6 ist sicher. Und btw. auf heise sind Anleitungen wie man es für die gängigen Browser deaktiviert

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6562

11.01.2013 - 16:24

in den 6er versionen gibt es über 30 bekannte sicherheitslücken, also keine empfehlenswerte alternative.

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

14.01.2013 - 08:52

Zitat
Wie verschiedene US-Medien berichten, hat Oracle angekündigt, kurzfristig einen Patch für die vor wenigen Tagen entdeckte Zero-Day-Lücke in Java bereitzustellen. Der Fehler hatte unter anderem das deutsche BSI und das US-Heimatschutzministerium zu Warnungen veranlasst. Mozilla und Apple deaktivierten das Java-Plug-in in ihren Browsern. Betroffen ist nur die aktuelle Version 7 von Java.

Unterdessen hat der polnische Sicherheitsexperte Adam Gowdiak Oracle auf der Bugtraq-Mailingliste vorgeworfen, Sicherheitsprobleme nicht gründlich genug zu untersuchen. Die jetzige Zero-Day-Lücke ermöglicht Anwendungen den Zugriff auf privilegierte Klassen unter Umgehung des Java-Security-Managers. Dabei werde ein Verfahren verwendet, so Gowdiak, über das sein Unternehmen Security Explorations Oracle bereits im August 2012 informiert habe. Der Patch vom Oktober habe jedoch nur einen Teil des Bugs mit dem Kürzel "Issue 32" beseitigt.

http://www.heise.de/newsticker/meld...an-1782827.html
Liest sich irgendwie so, als wäre sowas eher ein Klotz am Bein den man am liebsten ignorieren würde..

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6562

14.01.2013 - 09:32

Java 7 Update 11 ist verfügbar, da hat Oracle mit der Veröffentlichung des Patches richtig Gas gegeben, gemeldet wurde die Sicherheitslücke allerdings bereits im August 2012.

Ich habe das Update bei mir in der Firma schon verteilt, welches zumindest diese Variante der Sicherheitslücke behebt. Wer auf Java nicht verzichten kann, dem sei die rasche Installation ans Herz gelegt.

http://www.oracle.com/technetwork/t...22-1896849.html

http://java.com/de/download/index.jsp

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

30.01.2013 - 09:13

Zitat von mr.nice.
Java 7 Update 11 ist verfügbar, da hat Oracle mit der Veröffentlichung des Patches richtig Gas gegeben, gemeldet wurde die Sicherheitslücke allerdings bereits im August 2012.

Zitat
Sicherheitsforscher Adam Gowdiak weist darauf hin, dass die von Oracle gerade erst eingeführte neue Sicherheitsmaßnahme für das Java-Browser-Plugin bereits umgangen werden kann.

http://www.heise.de/newsticker/meld...lt-1793460.html

Bodominjaervi

OC Addicted

Registered: Jul 2002
Location: AT
Posts: 7808

26.02.2013 - 11:12

Zitat
Auch das bislang letzte Sicherheitsupdate für das Java Browser Plug-In auf die Version 7u15 hat die Software nicht abgedichtet.

heise.de

Weiter gehts...

mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6562	11.01.2013 - 15:22 Falls ihr es noch nicht mitbekommen habt, wiedermal treibt eine ungepatchte Java Sicherheitslücke ihr Unwesen in den Weiten des Internets und sie wird auch schon aktiv ausgenutzt! Ich empfehle jedem bis zum Update 7_11, welches im Februar erscheinen soll, umgehend das Java Plugin zu deaktivieren. Wer den Internet Explorer verwendet, sollte es überhaupt deinstallieren. Mehr dazu hier: http://www.heise.de/newsticker/meld...on-1780850.html http://www.kb.cert.org/vuls/id/625617
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	11.01.2013 - 15:34 Hast du ne Ahnung ob OSX auch betroffen ist ? Das was ich jetzt gefunden hab ist nur auf Win ausgerichtet. (Ich hab Java sowieso blockiert, aber interessant wärs) edit: Er funzt anscheinend auf Linux/OSX genauso, aber es gibt atm anscheinend nur Windows-Payload. Bearbeitet von Hansmaulwurf am 11.01.2013, 15:38
tinker SQUEAK Registered: Nov 2005 Location: NÖ Posts: 5251	11.01.2013 - 15:44 danke!
grond --------- Registered: Aug 2004 Location: 8401 Posts: 3198	11.01.2013 - 15:46 ok wie surft ihr normal wenn ihr alle javascript deaktiviert habts? gibt es irgendeine Möglichkeit (firefox)für gewisse Seiten JS zu aktivieren aber allgemein ausgeschalten zu lassen?
enforcer What? Registered: Apr 2001 Location: Mäder / Vlbg Posts: 2423	11.01.2013 - 15:50 ich hab noscript. betrifft übrigens definitiv alle plattformen: laut metasploit: Code: `'Targets' => [ [ 'Generic (Java Payload)', { 'Platform' => ['java'], 'Arch' => ARCH_JAVA, } ], [ 'Windows x86 (Native Payload)', { 'Platform' => 'win', 'Arch' => ARCH_X86, } ], [ 'Mac OS X x86 (Native Payload)', { 'Platform' => 'osx', 'Arch' => ARCH_X86, } ], [ 'Linux x86 (Native Payload)', { 'Platform' => 'linux', 'Arch' => ARCH_X86, } ], ],`
AdRy Auferstanden Registered: Oct 2002 Location: Wien Posts: 5239	11.01.2013 - 15:54 Zitat von grond ok wie surft ihr normal wenn ihr alle javascript deaktiviert habts? gibt es irgendeine Möglichkeit (firefox)für gewisse Seiten JS zu aktivieren aber allgemein ausgeschalten zu lassen? hier gehts um JAVA nicht javaSCRIPT ist die lücke nur im update 10 oder auch in früheren versionen schon drinnen?
evrmnd OC Addicted Registered: Nov 2002 Location: Posts: 3534	11.01.2013 - 15:55 Über javascript geht da ja nix oder? man muss erst ein java applet erlauben? Ich verwende eh auch ScriptSafe.
grond --------- Registered: Aug 2004 Location: 8401 Posts: 3198	11.01.2013 - 15:56 okok sry einfach den noob ignorieren
enforcer What? Registered: Apr 2001 Location: Mäder / Vlbg Posts: 2423	11.01.2013 - 16:00 Zitat von AdRy ist die lücke nur im update 10 oder auch in früheren versionen schon drinnen? Alle 7er Versionen gehen.
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	11.01.2013 - 16:12 Zitat von enforcer Alle 7er Versionen gehen. Lustigerweise die drunter nicht Also 6 ist sicher. Und btw. auf heise sind Anleitungen wie man es für die gängigen Browser deaktiviert
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6562	11.01.2013 - 16:24 in den 6er versionen gibt es über 30 bekannte sicherheitslücken, also keine empfehlenswerte alternative.
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	14.01.2013 - 08:52 Zitat Wie verschiedene US-Medien berichten, hat Oracle angekündigt, kurzfristig einen Patch für die vor wenigen Tagen entdeckte Zero-Day-Lücke in Java bereitzustellen. Der Fehler hatte unter anderem das deutsche BSI und das US-Heimatschutzministerium zu Warnungen veranlasst. Mozilla und Apple deaktivierten das Java-Plug-in in ihren Browsern. Betroffen ist nur die aktuelle Version 7 von Java. Unterdessen hat der polnische Sicherheitsexperte Adam Gowdiak Oracle auf der Bugtraq-Mailingliste vorgeworfen, Sicherheitsprobleme nicht gründlich genug zu untersuchen. Die jetzige Zero-Day-Lücke ermöglicht Anwendungen den Zugriff auf privilegierte Klassen unter Umgehung des Java-Security-Managers. Dabei werde ein Verfahren verwendet, so Gowdiak, über das sein Unternehmen Security Explorations Oracle bereits im August 2012 informiert habe. Der Patch vom Oktober habe jedoch nur einen Teil des Bugs mit dem Kürzel "Issue 32" beseitigt. http://www.heise.de/newsticker/meld...an-1782827.html Liest sich irgendwie so, als wäre sowas eher ein Klotz am Bein den man am liebsten ignorieren würde..
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6562	14.01.2013 - 09:32 Java 7 Update 11 ist verfügbar, da hat Oracle mit der Veröffentlichung des Patches richtig Gas gegeben, gemeldet wurde die Sicherheitslücke allerdings bereits im August 2012. Ich habe das Update bei mir in der Firma schon verteilt, welches zumindest diese Variante der Sicherheitslücke behebt. Wer auf Java nicht verzichten kann, dem sei die rasche Installation ans Herz gelegt. http://www.oracle.com/technetwork/t...22-1896849.html http://java.com/de/download/index.jsp
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	30.01.2013 - 09:13 Zitat von mr.nice. Java 7 Update 11 ist verfügbar, da hat Oracle mit der Veröffentlichung des Patches richtig Gas gegeben, gemeldet wurde die Sicherheitslücke allerdings bereits im August 2012. Zitat Sicherheitsforscher Adam Gowdiak weist darauf hin, dass die von Oracle gerade erst eingeführte neue Sicherheitsmaßnahme für das Java-Browser-Plugin bereits umgangen werden kann. http://www.heise.de/newsticker/meld...lt-1793460.html
Bodominjaervi OC Addicted Registered: Jul 2002 Location: AT Posts: 7808	26.02.2013 - 11:12 Zitat Auch das bislang letzte Sicherheitsupdate für das Java Browser Plug-In auf die Version 7u15 hat die Software nicht abgedichtet. heise.de Weiter gehts...

Java Zero Day Exploit im Umlauf

Forum Index > Software > Applications, Apps & Drivers

mr.nice.

Hansmaulwurf

tinker

grond

enforcer

AdRy

evrmnd

grond

enforcer

Hansmaulwurf

mr.nice.

Hansmaulwurf

mr.nice.

Hansmaulwurf

Bodominjaervi