Viren, Spyware, Datenschutz 11.211 Themen, 94.124 Beiträge

News: Und den Dreck sollen wir bezahlen?

Java-Exploit: 12 Virenschutzprogramme haben peinlich versagt

Michael Nickles / 36 Antworten / Flachansicht Nickles

Am Montag wurde bekannt, dass es bei der Java-Version 7 eine hochkritische Sicherheitslücke gibt. Sämtliche Java-Browser-Plugins sind betroffen, beim Besuch einer bösartigen Webseite kann schädlicher Code eingeschleust werden (siehe Aktuelle Sicherheitslücke im Java-Plugin für Browser).


Wer das aktuelle Java-Update "Version 7 Update 7" noch nicht hat, sollte es schnellstmöglich installieren: Java-Downloads für alle Betriebssysteme

Anlässlich dieses Vorfalls hat Heise beim Virus-Testlabor "AV comparatives" eine Untersuchung in Auftrag gegeben. Das Ergebnis: erbärmlich. Gerade mal 9 von 22 der gängigen Virenwächtern blockierten das gefährliche Java-Exploit.

Heise hat zwei Varianten zur Ausnutzung des Sicherheitslochs prüfen lassen. Eine Basisversion, die den Beispiel-Code des Sicherheitslochentdeckers ausprobiert (ausführen einer Windows-Anwendung) und eine erweiterte (noch fiesere), die eine ausführbare Datei via Internet nachlädt.

Nur 9 der Schutzprogramme waren in der Lage, beide Angriffe abzuwehren: Avast Free, AVG, Avira, ESET, G Data, Kaspersky, PC Tools, Sophos und Symantec. Komplett versagt haben die anderen 12: AhnLab, Bitdefender, BullGuard, eScan, F-Secure, Fortinet, GFI-Vipre, Ikarus, McAfee, Panda Cloud Antivirus, Trend Micro und Webroot). Wenigstens die Basisversion stoppen konnte Microsofts kostenlose Schutzlösung "Security Essentials".

Heise weist ausdrücklich darauf hin, dass die Untersuchung nur eine Momentaufnahme vom 30. August um 13 Uhr ist.

Zu diesem Zeitpunkt waren das Sicherheitsloch und die Methode, wie es ausgenutzt wird, allerdings schon ein paar Tage bekannt. Oracle hat das Sicherheitsloch am Donnerstagabend mit der Java-Version 7 Update 7 geflickt.

Michael Nickles meint:

Was bleibt ist eine höchstpeinliche Nummer. Lesenswert dazu ist auch der Bericht Oracle und Microsoft blamieren sich bei Reaktion auf Java-Lücke von Heise. Daraus geht hervor, dass Oracle die Sicherheitslücke angeblich bereits vier Monate kannte. Dennoch wurde die höchstkritische Version schamlos ohne jeglichen Sicherheitshinweise weiter ausgeliefert.

Auch Microsoft konnte beim "Krisenmanagement" nicht wirklich schnell helfen. Einziger Ausweg sich zu schützen, war Java abzuschalten. Genau das war im Fall des Internet Explorers allerdings selbst für Microsoft-Experten ein Problem (siehe Hinweise zum Umgang mit der Zero-Day-Lücke in Java).

Was bleibt ist wieder mal die simple Weisheit, dass es sinnlos und fatal ist, sich auf Virenschutzlösungen zu verlassen. Am sauersten bin ich auf die Anbieter kommerzieller Schutzlösungen.

Sobald ein Loch öffentlich bekannt ist, dann ist es denen ihr verdammter Job SOFORT zu reagieren und nicht erst eine "halbe Woche" später. Dafür werden diese "Versager" schließlich bezahlt.

bei Antwort benachrichtigen
jDownloader i.fass
Soll heißen? Proldi
Ganz klar: eclipse. celsius
schuerhaken Michael Nickles „Java-Exploit: 12 Virenschutzprogramme haben peinlich versagt“
Optionen

Was bitte macht "aGLOTZE" genau?
Und wieso bezieht man ein Programm aus "Tokelau"?
.tk ist die offizielle Domain-Endung (ccTLD) von Tokelau.

Und die Schuhe zieht ja wohl aus:
"... Polish security firm Security Explorations has sent an advisory,
with a proof-of-concept exploit, to Oracle today (Friday 31 AUG)
specific to a vulnerability they discovered in the Java 7 security
update released Thursday. ..."
(http://isc.sans.edu/diary/Not+so+fast+Java+7+Update+7+critical+vulnerability+discovered+in+less+than+24+hours/14017)

Es sieht ganz so aus, dass die Untergrund-Programmierer mehr auf
dem Kasten haben als die "professionellen" Coder in den Höhlen
der Platzhirsche.

Java ist ja stolz darauf, in "Millionen" von Anwendungen z.B. auch
für die Steuerung und Überwachung von Automobilen zu hocken.
Mein Auto (14 Jahre alt aber hochmodern mit Einspritzung, Airbags,
FB-ZV, Hub-/Schiebedach, Vollautomatik etc.) hat kein JAVA.
Ich Glücklicher!!!
bei Antwort benachrichtigen
prima, thx Michael Nickles