14.01.2013 10:46
Oracle patcht kritische Java-Lücke
Oracle reagiert mit der Java-Version 7 Update 11 auf die kritische Sicherheitlücke, die bereits aktiv von Cyber-Kriminellen ausgenutzt wird. Neben der Schwachstelle (CVE-2013-0422) beseitigt das Update noch eine weitere Lücke ähnlichen Ausmaßes, von der das Unternehmen der CVE-Nummer zufolge bereits seit vergangenem Jahr weiß (CVE-2012-3174).
Neben dem Fix der zwei kritischen Schwachstellen, verändert Oracle auch den Umgang von Java mit Web-Applets. So wird das Default-Sicherheitslevel von "Medium" auf "Hoch" gesetzt. Damit werden Nutzer nun jedes Mal vor Ausführung eines nicht signierten Applets vor dem Sicherheitsrisiko gewarnt. Da bösartige Java-Programme in der Regel eher unsigniert sind, dürfte das zukünftige Angriffe erschweren.
Der polnische Sicherheitsforscher Adam Gowdiak, der im vergangenen Jahr diverse kritische Java-Lücken entdeckt hat, bleibt aber weiterhin skeptisch. Oracle untersuche Sicherheitsprobleme nicht gründlich genug und lasse sich zu lange Zeit für Patches. Java nach dem Update wieder zu aktivieren, könne er nicht empfehlen.
Am 10. Januar entdeckte ein Malware-Forscher mit dem Pseudonym kafeine, dass Cyber-Ganoven eine bislang unbekannte Schwachstelle zum Verteilen von Malware nutzen. Zu diesem Zeitpunkt war der passende Angriffscode sogar schon in dem Exploit-Kit Black Hole enthalten, wodurch ihn auch technisch weniger versierte Gauner benutzen konnten. Das US-amerikanische Department of Homeland Security und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnten daraufhin vor der Schwachstelle, das BSI riet sogar zur vollständigen Deinstallation von Java bis ein Patch zur Verfügung steht. Wer Java auf seinem System installiert hat, sollte umgehend ein Update auf die aktuelle Version durchführen, um sich vor Angriffen über die gefährliche Lücke zu schützen.
(kbe)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
