SoftwareJava offenbar erneut von Sicherheitslücke betroffen

Gerade erst schlossen Entwickler von Oracle eine Sicherheitslücke in der weitverbreiteten Software Java RE. Nun bieten Unbekannte eine neue Schwachstelle zum Verkauf an. von 

Es ist gerade mal einen Tag her, dass die Entwickler des kalifornischen Software-Herstellers Oracle ihre Software Java RE 7 nachbessern mussten. Eine massive Sicherheitslücke hatte das Update nötig gemacht. Einen Tag später verkaufen Unbekannte nun schon Informationen über eine neue Schwachstelle in dem Produkt im Netz. Das berichtet der Experte für Computersicherheit und ehemalige Journalist Brian Krebs in seinem Blog.

Für 5.000 Dollar soll der Administrator eines Hacker-Forums das Leck in der Software den Mitgliedern seines Forums exklusiv angeboten haben. Laut Krebs pries er in seiner Nachricht die Sicherheitslücke als ebenso gefährlich an, wie die eben erst geschlossene. Bei der alten wie möglicherweise auch der neuen Schwachstelle handelt es sich um Zero-Day-Exploits. Das sind Codestellen in einem Programm, die von Angreifern sofort ausgenutzt werden können, da sie noch unbekannt sind.

Anzeige

Nutzer, die Java RE installiert haben, waren dadurch einem hohen Risiko ausgesetzt, Opfer von Schad-Software zu werden. Das Bundesamt für Sicherheit in der Informationstechnik hatte deshalb beim vorherigen Mal geraten, die Software zu deaktivieren. Java RE ist nach Angaben von Oracle auf etwa 850 Millionen Rechnern installiert. Die Software läuft auf allen Betriebssystemen und stellt Webinhalte dar und ermöglicht etwa Spiele im Browser. Das macht sie zu einem beliebten Ziel für Angreifer.

Ob es die nun entdeckte Sicherheitslücke tatsächlich gibt, ist noch nicht sicher. Der Experte Krebs glaubt aber nicht an einen Fake. Denn nach dem Update von Java RE im Oktober 2012 gab es in verschiedenen Foren ähnliche Kaufangebote für Schwachstellen.

Das Bundesamt für Sicherheit in der Informationstechnik konnte hingegen die Sicherheitslücke auf Nachfrage von ZEIT ONLINE nicht bestätigen. Auch der US-Heimatschutz hat sich bisher nicht dazu geäußert. Wer dennoch sicher gehen will, kann Java RE in seinem Browser deaktivieren. Wie das geht, zeigt das Bundesamt für Sicherheit in der Informationstechnik auf seinen Seiten.

Zur Startseite
 
Leserkommentare
  1. Ohne Frage, Sicherheitslücken sind problematisch bzw. können erheblich Schadenspotential darstellen. Aber in diesem Bereich wird sehr häufig mit FUD ( = fear uncertainty doubt) operiert. Wenn man z.B. jede Sicherheitslücke in Windows für € 1000,- verkauft hätte, gäbe es einige Miiionäre mehr.

  2. aber dieser Beitrag disqualifiziert ZeitOnline nun vollständig für diese Themen.

    Erstens mal ist die bekannte und nun gepatchte Lücke auch für Java 5 und 6.
    Zweitens hatte der Exploit nichts mit Java als solches zu tun, sondern lediglich für diejenigen, die neben JavaRE auch das JavaPlugin für die Browser installiert haben, dann da gab es die Sicherheitslücke.

    Und dann das (Zitat):
    Die Software läuft auf allen Betriebssystemen und stellt Webinhalte dar und ermöglicht etwa Spiele im Browser.
    (Zitat Ende)

    Das ist weder richtig noch in diesem Zusammenhang von irgendeinem Sinn.

    Und was als Schlagwort "Firefox" bei dem Artikel zu suchen hat wird sihc mir auch nie erschließen.

  3. @Redaktion: Das US CERT hat sich inzwischen zum ursprünglichen Patch geäußert und hält seine Warnung aufrecht:

    http://www.kb.cert.org/vuls/id/625617

    Den Blogg-Bericht kann ich nicht einordnen. M.Aurelius kann ich aber sagen: 0day-Sicherheitslücken kosten von 200 EUR aufwärts (nach oben gibt es keine Grenzen) und natürlich gibt es Händler, die mit dem Handel zu Millionären geworden sind; es ist aber der seltener eingeschlagene Weg zu branchenspezifischem Reichtum, wenn sie verstehen. Üblicherweise werden die Lücken durch Zufall oder Analyse gefunden, und zwar in kleinen Arbeitsgruppen, die für diesen oder jenen Arbeitgeber tätig sind. Wenn sich das eigene Haus dann ausgiebig bedient hat, kann es passieren, dass befreundete Dienstleister ein Angebot bekommen. Setzen Sie als Interessenten alle ein, die Informationen über Konkurrenten einholen wollen: Wirtschaft, Militär, ... Wegen struktureller und ethischer Defizite finden die Exploits häufig ihren Weg aus der Welt der Schattenorganisationen in die Kriminalität und werden bei massenhaftem Einsatz schließlich von AV-Labors "entdeckt". Die intellektuelle Kapazität von Kreditkartenmafia etc. zur Eigenentwicklung von 0day-Exploits kann als gering gegenüber den staatlichen und privaten Potentialen gesehen werden, aber es gibt Anzeichen, dass hier ein Aufholen beginnen könnte.

Bitte melden Sie sich an, um zu kommentieren

  • Quelle ZEIT ONLINE
  • Schlagworte Blog | Browser | Computersicherheit | Dollar | Forum | Information
Service