Links| Presse| Impressum| Kontakt
Logo
Sie sind hier: Startseite > Archiv > Übersicht > Details

Extraausgabe "Sicher • Informiert"

04.04.2012

Wichtige Java-Sicherheitsupdates verfügbar: Trojaner nutzen verstärkt Schwachstellen alter Java-Versionen

Die Ausnutzung von kritischen Schwachstellen alter Java-Versionen hat in letzter Zeit rasant zugenommen. Aktuell gefährdet eine kritische Schwachstelle (CVE-2012-0507) sowohl Mac- als auch Windows-Nutzer [1], [2].

Zunächst sollten Sie prüfen, ob die Java-Laufzeitumgebung für Ihre Arbeit am PC benötigt wird. Wer auf Java verzichten kann, sollte dies tun (siehe auch [3]). Für Anwender, die die Software benötigen, ist es dringend ratsam, diese gemäß den Möglichkeiten Ihres Betriebssystems auf dem aktuellsten Stand zu halten. Ob eine aktuelle Java-Version installiert ist, können Sie auf der Webseite des Java-Anbieters Oracle überprüfen [4].

Für Microsoft Windows stehen mit Java Version 6 Update 31 und Version 7 Update 3 seit Februar schützende Updates zur Verfügung. In den Java-Einstellungen von Windows sollte unter "Start > Einstellungen > Systemsteuerung > Java" die Option des automatischen Updates angewählt werden. Für Nutzer von Microsoft Windows besteht ein großes Risiko, da die Schwachstelle mittlerweile von sogenannten "Exploit Packs" zur Verbreitung von Schadprogrammen verwendet wird.

Cyberkriminelle nutzen die kritische Java-Schwachstelle ebenfalls aus, um den Mac-Trojaner "Flashback" per Drive-by-Exploit zu verbreiten. Flashback ist eine weit entwickelte Schadsoftware, die in Apple Mac OS X eingebaute Schutzmaßnahmen umgehen kann. Auch Mac OS X Anwender haben nun die Möglichkeit, verwundbare Java Versionen zu aktualisieren [5]. Dies geschieht unter Mac OS X am einfachsten über die integrierte Funktion "Software Aktualisierung" des Betriebssystems [6].

Einen gewissen Schutz bieten die Browser von Mozilla und Google. In der aktuellen Version von Mozilla Firefox werden unsichere Plugins (z.B. alte Java-Versionen) durch eine Blockliste gesperrt [7]. In Google Chrome ist Java standardmäßig deaktiviert, die Ausführung von Java-Inhalten muss vom Nutzer im Bedarfsfall manuell freigegeben werden.

Update 11.04.2012: Apple arbeitet derzeit an einer Software zur Entfernung des "Flashback"-Trojaners auf bereits infizierten Mac OS X Systemen [8].

[1] http://www.heise.de/security/meldung/Flashback-Trojaner-nutzt-ungepatchte-Java-Luecke-aus-1499277.html

[2] http://blogs.technet.com/b/mmpc/archive/2012/03/20/an-interesting-case-of-jre-sandbox-breach-cve-2012-0507.aspx

[3] https://www.bsi.bund.de/ContentBSI/Themen/Cyber-Sicherheit/Empfehlungen/produktkonfiguration/BSI-E-CS-001.html

[4] http://www.java.com/de/download/installed.jsp

[5] http://support.apple.com/kb/HT1222?viewlocale=de_DE&locale=de_DE

[6] http://support.apple.com/kb/HT1338?viewlocale=de_DE&locale=de_DE

[7] http://support.mozilla.org/de/kb/Sperrliste%20f%C3%BCr%20Add-ons

[8] http://support.apple.com/kb/HT5244?viewlocale=de_DE&locale=de_DE