Sicherheitslücke in neuester Java-Version entdeckt

Auch das bislang letzte Sicherheitsupdate für das Java Browser Plug-In auf die Version 7u15 hat die Software nicht abgedichtet. Das Unternehmen Security Explorations hat eine neue Schwachstelle entdeckt und Oracle mit einem Proof of Concept informiert. Gleichzeitig kursieren Exploits für die ältere Java-Version 7u11. Wer die letzten Updates verpasst hat, sollte sich beeilen und updaten oder besser: Java deinstallieren.

Adam Gowdiak, Geschäftsführer von Explorations, meldete Oracle die neuen Sicherheitslücken mit den Nummern 54 und 55 am 25. Februar. Werden beide Schwachstellen in Kombination ausgenutzt, kann die Java-Sandbox umgangen werden. Kriminelle könnten so Schadcode in Rechner einschleusen – wie bei Facebook, Apple und Microsoft geschehen. Wie Gowdiak gegenüber Softpedia kommentierte, würde dafür das "Reflection API auf sehr interessante Weise" ausgenutzt. Oracle antwortete Gowdiaks Unternehmen, dass es den Sicherheitsreport nachvollziehen könne und sich um das Problem kümmere.

Derweil meldet die Sicherheitsfirma Rapid7, dass nun ein Metasploit-Modul für Lücken in Java 7u11 im Netz kursiert und Exploits für Java 7u11 in Exploit Kits wie Cool EK und Popads integriert wurden. Diese klopfen die Systeme von Opfern, wie kürzlich bei dem Angriff auf Sparkasse.de, systematisch nach bekannten Sicherheitslücken ab. Wer also die letzten Updates noch nicht eingespielt hat, sollte dies schleunigst tun.

Alle, die genug von Hiobsbotschaften haben und das Plug-in eigentlich nicht benötigen, sollten Java deinstallieren. (kbe)