Java Zero Day Exploit im Umlauf
mr.nice. 11.01.2013 - 15:22 2901 17
mr.nice.
endlich fertig
|
Ich finde es schon beachtlich, dass man damit erfolgreich Firmengeräte von Apple, Facebook und Microsoft penetrieren konnte. Ironische Randnotiz, Microsoft hat es anscheinend über ihr hauseigenes Apple Department erwischt. - Kundendaten sind ihres Wissens nach keine entwendet worden, sehr beruhigend.
Das könnte sogar zutreffend sein, denn ich vermute, da brauchte jemand ein paar neue geklaute Zertifikate für etwas größeres das uns möglicherweise noch bevor steht.
Ich hoffe für die Firmen, dass sie zumindest alle auf den Geräten gespeicherten Kennwörter umgehend geändert haben.
|
Hansmaulwurf
u wot m8?
|
Ich finde es schon beachtlich, dass man damit erfolgreich Firmengeräte von Apple, Facebook und Microsoft penetrieren konnte. Ironische Randnotiz, Microsoft hat es anscheinend über ihr hauseigenes Apple Department erwischt. - Kundendaten sind ihres Wissens nach keine entwendet worden, sehr beruhigend. Geh bitte. Bei Facebook ist "auch nix passiert". Das ist ja klar, wenn jemand eine gezielte Attacke fährt (wurde von FB so genannt), dann kommt er ins System und macht erst mal gar nichts.. btw Update schon wieder gecrackt ? (Ich bin langsam verwirrt ob der schieren Schar von Updates und Lücken) http://www.heise.de/newsticker/meld...ar-1815992.htmlOffensichtlich sind aber so oder so noch mehrere Lücken offen. Die gerade veröffentlichen Java-Versionen sind zwar sicherer geworden, aber keineswegs sicher: Der polnische Schwachstellen-Experte Adam Gowdiak erklärte heise Security, dass die von ihm und seinem Team entdeckten Issues 54 bis 60 auch Java 7 Update 17 betreffen. Laut Gowdiak gibt es mindestens zwei Wege, die Java-Sandbox mit speziell präparierten Web-Applets auszutricksen, um ungehindert auf das System zuzugreifen.
|
Hansmaulwurf
u wot m8?
|
Aber wir reden hier von Oracle: Und die Herren über den Java-Code haben die Gültigkeitsprüfung von Zertifikaten zwar vorgesehen – aber nicht aktiviert. Weder die Kontrolle der Sperrlisten noch der Online-Check via OCSP sind in den Standardeinstellungen aktiv. Und das obwohl Oracle der digitalen Signatur eines Applets so hohen Stellenwert beimisst, dass es damit aus der Sandbox aussteigen und das System eines Anwenders beliebig manipulieren darf – was einem unsignierten Applet prinzipiell erstmal nicht möglich ist. http://www.heise.de/newsticker/meld...ks-1817775.html
|