Weitere Lücke in Java wird bereits ausgenutzt

Ferdinand Thommes
50 Kommentare

Die letzte Meldung über Verwundbarkeiten in Java und die damit aktiv genutzten Exploits ist noch keine fünf Tage alt, schon ist ein weiterer Exploit für eine neue Sicherheitslücke im Umlauf und wird aktiv ausgenutzt. Es handelt sich um eine Zero-Day-Lücke und betroffen sind Java SE 1.6 Update 41 und Java SE 1.7 Update 15.

Wie die Sicherheitsexperten von FireEye berichten, wird dabei ein Sicherheitsloch in Oracles Java Virtual Machine (JVM) ausgenutzt, indem unter Umgehung des Security Managers direkt auf den Speicher der Java Virtual Machine zugegriffen wird. Dort wird dann der Bereich, in dem festgelegt wird, ob der Security Manager aktiv ist oder nicht, auf Null gesetzt.

FireEye berichtet weiter, bereits mehrerer seiner Kunden seien von derartigen Angriffen betroffen gewesen. Laut den Experten ist der Exploit derzeit noch nicht 100 Prozent stabil. Es kann zwar Schadcode injiziert werden, allerdings gelingt die Ausführung nicht in jedem Fall. Misslingt die Ausführung, weil der Code einen zu großen Speicherbereich überschreiben will, führt das zum Absturz der JVM. Der geladene Trojaner hört auf den Namen „McRAT“ und dupliziert sich als erstes als DLL und nimmt Veränderungen an der Registry vor. Wie inzwischen bekannt wurde, ist der „Command and Control Server“, der von McRAT kontaktiert wird, der Gleiche, der auch bei einem Angriff auf die Firma Bit9 benutzt wurde.

Oracle hat der neuen Lücke inzwischen die Nummer CVE-2013-1493 zugewiesen. Da es auch für diese Verwundbarkeit noch keinen Patch von Oracle gibt, rät FireEye, wie andere Experten auch, dringend zum Deaktivieren von Java im Browser oder zumindest zum Hochsetzen der Sicherheitsstufe auf „High“. Selbst dann sollten keine Java-Applets unbekannter Herkunft ausgeführt werden. In neuen Versionen von Firefox und Chrome kann auch die Click-to-Play-Funktion benutzt werden, mit der die Ausführung von Plug-Ins vom Anwender explizit genehmigt werden muss.

Nvidia GTC 2024 (18.–21. März 2024): ComputerBase ist vor Ort!