Viren, Spyware, Datenschutz 11.214 Themen, 94.192 Beiträge

News: Und den Dreck sollen wir bezahlen?

Java-Exploit: 12 Virenschutzprogramme haben peinlich versagt

Michael Nickles / 36 Antworten / Flachansicht Nickles

Am Montag wurde bekannt, dass es bei der Java-Version 7 eine hochkritische Sicherheitslücke gibt. Sämtliche Java-Browser-Plugins sind betroffen, beim Besuch einer bösartigen Webseite kann schädlicher Code eingeschleust werden (siehe Aktuelle Sicherheitslücke im Java-Plugin für Browser).


Wer das aktuelle Java-Update "Version 7 Update 7" noch nicht hat, sollte es schnellstmöglich installieren: Java-Downloads für alle Betriebssysteme

Anlässlich dieses Vorfalls hat Heise beim Virus-Testlabor "AV comparatives" eine Untersuchung in Auftrag gegeben. Das Ergebnis: erbärmlich. Gerade mal 9 von 22 der gängigen Virenwächtern blockierten das gefährliche Java-Exploit.

Heise hat zwei Varianten zur Ausnutzung des Sicherheitslochs prüfen lassen. Eine Basisversion, die den Beispiel-Code des Sicherheitslochentdeckers ausprobiert (ausführen einer Windows-Anwendung) und eine erweiterte (noch fiesere), die eine ausführbare Datei via Internet nachlädt.

Nur 9 der Schutzprogramme waren in der Lage, beide Angriffe abzuwehren: Avast Free, AVG, Avira, ESET, G Data, Kaspersky, PC Tools, Sophos und Symantec. Komplett versagt haben die anderen 12: AhnLab, Bitdefender, BullGuard, eScan, F-Secure, Fortinet, GFI-Vipre, Ikarus, McAfee, Panda Cloud Antivirus, Trend Micro und Webroot). Wenigstens die Basisversion stoppen konnte Microsofts kostenlose Schutzlösung "Security Essentials".

Heise weist ausdrücklich darauf hin, dass die Untersuchung nur eine Momentaufnahme vom 30. August um 13 Uhr ist.

Zu diesem Zeitpunkt waren das Sicherheitsloch und die Methode, wie es ausgenutzt wird, allerdings schon ein paar Tage bekannt. Oracle hat das Sicherheitsloch am Donnerstagabend mit der Java-Version 7 Update 7 geflickt.

Michael Nickles meint:

Was bleibt ist eine höchstpeinliche Nummer. Lesenswert dazu ist auch der Bericht Oracle und Microsoft blamieren sich bei Reaktion auf Java-Lücke von Heise. Daraus geht hervor, dass Oracle die Sicherheitslücke angeblich bereits vier Monate kannte. Dennoch wurde die höchstkritische Version schamlos ohne jeglichen Sicherheitshinweise weiter ausgeliefert.

Auch Microsoft konnte beim "Krisenmanagement" nicht wirklich schnell helfen. Einziger Ausweg sich zu schützen, war Java abzuschalten. Genau das war im Fall des Internet Explorers allerdings selbst für Microsoft-Experten ein Problem (siehe Hinweise zum Umgang mit der Zero-Day-Lücke in Java).

Was bleibt ist wieder mal die simple Weisheit, dass es sinnlos und fatal ist, sich auf Virenschutzlösungen zu verlassen. Am sauersten bin ich auf die Anbieter kommerzieller Schutzlösungen.

Sobald ein Loch öffentlich bekannt ist, dann ist es denen ihr verdammter Job SOFORT zu reagieren und nicht erst eine "halbe Woche" später. Dafür werden diese "Versager" schließlich bezahlt.

bei Antwort benachrichtigen
wapjoe Michael Nickles „Java-Exploit: 12 Virenschutzprogramme haben peinlich versagt“
Optionen

Beim Java Update muss man auch aufpassen, dass man sich nicht noch mit der Ask-Toolbar "infiziert", wenigstens hat man bei Java noch die Wahl, anders als bei Nero Essentials etc...

Was auch nicht okay ist, bei Java ist ein Updateintervall von 30 Tagen standard, wobei angeblich wöchentlich nach kritischen Updates gesucht wird. Im Java Control Panel >> Reiter Update/Erweitert, hab ich eben Täglich eingestellt und dann das Update manuell durchgeführt, Intervall steht wieder auf Monatlich...
Die automatischen Updates sind m.E. eh für die Katz, ich hatte bis eben noch die Version 7-5, also hat Java das Update 6 bei mir komplett übersprungen.

Gruß
wapjoe

PS: Wofür brauch ich Java überhaupt? Mir fällt kein sinniger Nutzen ein, höchsten Samsung Kies, dass muss ich mal testen.

bei Antwort benachrichtigen
jDownloader i.fass
Soll heißen? Proldi
Ganz klar: eclipse. celsius
prima, thx Michael Nickles