Zero-Day-Lücke: Oracle rät zum Abschalten von Java

Trend Micro hat eine Zero-Day-Lücke in Oracle Java entdeckt. Das hat eine weitere Analyse der Malware-Kampagne Pawn Storm gezeigt. Demnach ist es die erste Zero-Day-Lücke in der Laufzeitumgebung seit fast zwei Jahren. Betroffen ist nur die aktuelle Java-Version 8 Update 45.

Aus dem Blog des Sicherheitsunternehmens geht hervor, das Angreifer einen Exploit für die Java-Lücke nutzen, um die Armee eines NATO-Staates sowie eine US-Verteidigungsorganisation zu attackieren. Das “Smart Protection Network” von Trend Micro habe in E-Mails gefährliche URLs entdeckt. Diese leiten Nutzer auf eine Website weiter, die den Exploit hostet.

Cyberkriminelle können die Sicherheitslücke ausnutzen, um Schadcode einzuschleusen und auszuführen. Anschließend können sie die Sicherheit eines betroffenen Systems kompromittieren. Bei den Angriffen der Hintermänner von Pawn Storm auf NATO-Mitglieder sowie das Weiße Haus im April dieses Jahres sei die Java-Lücke allerdings noch nicht zum Einsatz gekommen.

Trend Micro hat Oracle über die Schwachstelle bereits in Kenntnis gesetzt. Oracle rät Java-Nutzern, die Laufzeitumgebung in ihren Browsern zu deaktivieren.

Oracle kündigte bereits Ende vergangener Woche ein Java-Update an. Es soll morgen im Lauf des Tages im Rahmen des Juli-Patchdays verteilt werden. Oracle stellt Sicherheitsupdates planmäßig nur vierteljährlich im Januar, April, Juli und Oktober zur Verfügung.

Ob das Java-Update aber auch einen Fix für die Zero-Day-Lücke enthält, ist nicht bekannt. Einer Vorankündigung zufolge stecken in Oracle-Produkten wie Java, Datenbanken, Fusion Middleware, Enterprise Manager und MySQL insgesamt 193 Anfälligkeiten.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de