Erneute Sicherheitslücke: Bsi Empfiehlt Deinstallation Von Java

• Eue25
  12. Januar 2013 - 19:44 Uhr
  Gefährliche Lücke in aktueller Java-Version
  
  In der aktuellen Java-Version 7 Update 10 klafft eine kritische Sicherheitslücke, die offenbar bereits im großen Stil für Cyber-Angriffe ausgenutzt wird. Wer Java auf seinem Rechner installiert hat, sollte das Java-Plug-in im Browser umgehend deaktivieren.
  
  Ein Malware-Forscher mit dem Pseudonym kafeine hat im Netz einen Exploit entdeckt, der eine bislang unbekannte Java-Schwachstelle ausnutzt. Die Sicherheitsexperten von AlienVault analysierten den Exploit daraufhin und bestätigen die Brisanz des Funds: Es gelang ihnen damit, Code in ein vollständig gepatches Windows-System mit Java 7 Update 10 einzuschleusen. Unklar ist derzeit noch, ob die Lücke auch in dem 6er Versionszweig klafft. Bei einem ersten Test von kafeine zündete der Exploit unter Java 6 nicht.
  
  Die Schwachstelle wird bereits aktiv von Cyber-Kriminellen zur Verbreitung von Malware ausgenutzt. Laut dem Security-Blogger Brian Krebs gibt es passende Angriffsmodule für die Exploit-Kits Black Hole und Nuclear Pack. Laut Krebs hat der Black-Hole-Entwickler mit dem Pseudonym Paunch am gestrigen Mittwoch in Untergrundforen verkündet, dass der Zero-Day-Exploit eine Neujahrsgabe für seine zahlende Kundschaft sei.
  
  Da die Lücke mit Hilfe der Exploit-Kits mit geringem Aufwand auszunutzen ist, muss man damit rechnen, dass die Zahl der Seiten, auf denen der Java-Exploit lauert, im Laufe der nächsten Tage explodiert. Es genügt bereits, eine verseuchte Webseite aufzurufen, um Opfer einer Malware-Infektion zu werden. Der Angriffscode kann dabei auch auf seriösen Webseiten lauern.
  
  Man sollte das Java-Plug-in im Browser daher umgehend deaktivieren.
  Unter Opera erreicht man die Plugin-Verwaltung durch die Eingabe von opera:plugins in die Adressleiste. Beim Internet Explorer lässt sich Java nur schwer abschalten. Bei einem Test von heise Security zeigte sich, dass der Microsoft-Browser auch dann noch auf das Java-Plug-in zugreifen kann, wenn es explizit deaktiviert wurde.Wer den IE einsetzt, sollte Java daher besser vollständig über Systemsteuerung/Software deinstallieren. Ob man Java erfolgreich deaktiviert hat, verrät die Java-Testseite unseres Browserchecks.
  
  quelle: http://callofduty.4players.de/board141-computerwelt/board37-software-ecke/74741-erneute-sicherheitsl%C3%BCcke-bsi-empfiehlt-deinstallation-von-java/
  
  
  könnte ja für runescape ganz schön problematisch werden, oder? ich hör sowas zum ersten mal und da rs ja komplett auf java aufbaut...^^
• Jonas
  12. Januar 2013 - 21:12 Uhr
  Mit dem Runescape Client kannst du es auch ohne Java spielen.
• Eue25
  12. Januar 2013 - 21:20 Uhr
  ja klar, mach ich jetzt auch erstmal ne weile. browser ist zwar bequemer... <.<
  
  aber der exploit kann dir auf jeder seite mit javascript begegnen. weiß aber nicht in wie fern das ernst zu nehmen ist
• lordhulkster
  12. Januar 2013 - 21:34 Uhr
  Es ist zumindest so ernst, dass Firefox Java komplett blockt...eine weitere Sicherheitslücke mit empfohlener Deinstallation gibt es übrigens auch für Flash...
  
  

  Zitat

  Mozilla und Apple schalten das Java-Plug-in ab
  
  Wegen einer gefährlichen Schwachstelle in Java deaktiviert Mozilla das Java-Plug-in im Firefox-Browser automatisch ab Version 17 auf allen Plattformen. Beim Besuch einer Website mit Java-Plug-in wird der Surfer nun auch bei den neueren Java-Versionen gefragt, ob das Plug-in für diese Sitzung oder generell wieder aktiviert werden soll. Apple scheint laut einer Meldung bei macrumors reagiert zu haben und deaktiviert alle bisherigen Java-Plug-ins, indem es über die Plug-in-Blacklist eine noch nicht veröffentlichte Version von Java 7 verlangt.

  
  

  Zitat

  Nutzer sollen Java abschalten und Flash updaten
  
  Aktuelle Version des Flash Players zum Herunterladen: BSI rät zur Eile
  
  Viele Rechner sind gefährdet: In den Programmen Java und Flash sind gravierende Sicherheitslücken gefunden worden. Experten raten allen Nutzern, sich möglichst schnell darum zu kümmern.
  
  Hannover/Bonn - Die auf vielen Rechnern installierten Programme Java und Flash haben teils schwere Sicherheitslücken. Für die Java-Schwachstelle gibt es aktuell noch keine Lösung, Internetnutzer sollten das dazugehörige Plug-in im Browser daher vorübergehend deaktivieren. Betroffen ist die aktuelle Version 7, berichtet "Heise Security". Angreifer können durch die Lücke und über eine manipulierte Webseite Trojaner und andere Schädlinge auf fremde Rechner schmuggeln.
  
  Es gilt also Abschalten statt Abwarten. Java lässt sich in den verbreiteten Browsern so deaktivieren:
  
  unter Firefox im Add-on-Manager
  im Apple-Browser Safari im Menü "Sicherheit"
  bei Chrome lassen sich unter "Erweiterte Einstellungen" nur alle Plug-ins auf einmal blockieren
  Wer mit dem Internet Explorer surft, sollte Java in der Systemsteuerung lieber komplett deinstallieren: Der Browser von Microsoft kann das Plug-in nach Angaben der Sicherheitsexperten nicht zuverlässig abschalten.
  
  Auch beim Flash Player könnten Angreifer über eine Schwachstelle theoretisch einen eigenen Code auf einem Rechner ausführen, deren Besitzer eine manipulierte Webseite oder E-Mail öffnet.
  
  Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät daher, so schnell wie möglich das Update auf die aktuelle Version 11.5.502.146 zu installieren - das geht hier.
  
  Welche Flash-Version gerade auf einem Rechner läuft, zeigt diese Webseite an.
  
• Lauri7x3
  12. Januar 2013 - 22:23 Uhr
  danke für die info. ich hab zum glück noch version 6
• Eue25
  13. Januar 2013 - 09:49 Uhr
  naja also bei chrome kann man die plug ins auch einzeln abschalten...
  wie sieht es eigentlich mit javascript aus? ich mein mal jede website läuft irgendwo damit, kann ohne gar nicht gescheit surfen^^
  und wie sieht es mit dem flash plug in für chrome aus? das kommt ja direkt mit chrome
• Lutze53
  13. Januar 2013 - 09:54 Uhr
  ich hab gerade ne Meldung bekommen das man angeblich bei Avira Premium oder Internet Security 2013 geschützt ist
• lordhulkster
  13. Januar 2013 - 11:02 Uhr
  Selbst die kostenfreie Version von Avira bietet nach eigenen Angaben vollständigen Schutz...
• Meganitrus
  13. Januar 2013 - 11:16 Uhr
  soll man javascript also auch blockieren/deaktivieren?
• Juli
  13. Januar 2013 - 12:30 Uhr
  Javascript und Java sind zwei komplett verschiedene Dinge.
• Meganitrus
  13. Januar 2013 - 12:57 Uhr
  ich hab ja nicht geschrieben dass die beiden das gleiche sind...
• Simi
  13. Januar 2013 - 15:32 Uhr
  JavaScript kann man getrost aktiviert lassen, JS wird zwar für viele andere Exploits benutzt (darum empfehlen sich auch Add-Ons wie NoScript) hat aber mit diesem Exploit nichts zu tun.
• Eue25
  14. Januar 2013 - 13:39 Uhr
  Oracle schließt Java Zero-Day-Lücke
  
  Java 7 Update 11 schließt zwei kritische Lücken
  Oracle hat am Wochenende ein Sicherheits-Update für Java 7 bereit gestellt. Java 7 Update 11 beseitigt zwei als kritisch eingestufte Schwachstellen, von denen eine bereits für Angriffe im Web ausgenutzt wird.
  Nachdem in der letzten Woche die gängigen Angriffsbaukästen zur Verbreitung von Malware um Exploit-Code für die neueste Java-Lücke (CVE-2013-0422) erweitert wurden, hat Oracle am Wochenende Java 7 Update 11 bereit gestellt. Darin haben die Entwickler zwei Sicherheitslücken geschlossen, darunter auch die für Angriffe im Web ausgenutzte Schwachstelle.
  Für beide Schwachstellen gibt Oracle den höchsten CVSS Score 10.0 (Common Vulnerability Scoring Standard) an. Sie können mit unsignierten Java Applets ausgenutzt werden. Betroffen ist nur das Browser-Plugin JRE (Java Runtime Environment) für Java 7. Frühere Java-Generationen, etwa Java 6, sind nicht anfällig für Angriffsszenarien, die auf diese Lücken zielen. Auch Server-Installationen sind nicht betroffen.
  
  Mit diesem Update erhöht Oracle nach eigenen Angaben die voreingestellte Sicherheitsstufe für Java von "mittel" auf "hoch". Damit erfolgt stets eine Benutzerabfrage, bevor unsignierte Java Applets ausgeführt werden. Hat eine Benutzer über Systemsteuerung/Java eigene Sicherheitseinstellungen vorgenommen, bleiben diese erhalten.
  
  Wer auf das Java-Plugin im Browser für bestimmte Anwendungsfälle angewiesen ist, sollte seine Installation umgehend auf Java 7 Update 11 aktualisieren. Wer hingegen Java aus Sicherheitsgründen deinstalliert oder im Browser deaktiviert hat, ohne es bislang zu vermissen, kann es auch weiterhin dabei belassen. Die nächste Java-Lücke kommt bestimmt.
  
  Quelle: pcwelt.de
  
  Somit kann ich wieder getrost im Browser zocken