Java Zero Day Exploit im Umlauf

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6302

26.02.2013 - 11:32

Ich finde es schon beachtlich, dass man damit erfolgreich Firmengeräte von Apple, Facebook und Microsoft penetrieren konnte. Ironische Randnotiz, Microsoft hat es anscheinend über ihr hauseigenes Apple Department erwischt. - Kundendaten sind ihres Wissens nach keine entwendet worden, sehr beruhigend.

Das könnte sogar zutreffend sein, denn ich vermute, da brauchte jemand ein paar neue geklaute Zertifikate für etwas größeres das uns möglicherweise noch bevor steht.

Ich hoffe für die Firmen, dass sie zumindest alle auf den Geräten gespeicherten Kennwörter umgehend geändert haben.

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

05.03.2013 - 11:56

Zitat von mr.nice.
Ich finde es schon beachtlich, dass man damit erfolgreich Firmengeräte von Apple, Facebook und Microsoft penetrieren konnte. Ironische Randnotiz, Microsoft hat es anscheinend über ihr hauseigenes Apple Department erwischt. - Kundendaten sind ihres Wissens nach keine entwendet worden, sehr beruhigend.

Geh bitte. Bei Facebook ist "auch nix passiert". Das ist ja klar, wenn jemand eine gezielte Attacke fährt (wurde von FB so genannt), dann kommt er ins System und macht erst mal gar nichts..

btw
Update schon wieder gecrackt ? (Ich bin langsam verwirrt ob der schieren Schar von Updates und Lücken)
http://www.heise.de/newsticker/meld...ar-1815992.html
Offensichtlich sind aber so oder so noch mehrere Lücken offen.

Zitat
Die gerade veröffentlichen Java-Versionen sind zwar sicherer geworden, aber keineswegs sicher: Der polnische Schwachstellen-Experte Adam Gowdiak erklärte heise Security, dass die von ihm und seinem Team entdeckten Issues 54 bis 60 auch Java 7 Update 17 betreffen. Laut Gowdiak gibt es mindestens zwei Wege, die Java-Sandbox mit speziell präparierten Web-Applets auszutricksen, um ungehindert auf das System zuzugreifen.

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

07.03.2013 - 10:20

Zitat
Aber wir reden hier von Oracle: Und die Herren über den Java-Code haben die Gültigkeitsprüfung von Zertifikaten zwar vorgesehen – aber nicht aktiviert. Weder die Kontrolle der Sperrlisten noch der Online-Check via OCSP sind in den Standardeinstellungen aktiv. Und das obwohl Oracle der digitalen Signatur eines Applets so hohen Stellenwert beimisst, dass es damit aus der Sandbox aussteigen und das System eines Anwenders beliebig manipulieren darf – was einem unsignierten Applet prinzipiell erstmal nicht möglich ist.

http://www.heise.de/newsticker/meld...ks-1817775.html

mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6302	26.02.2013 - 11:32 Ich finde es schon beachtlich, dass man damit erfolgreich Firmengeräte von Apple, Facebook und Microsoft penetrieren konnte. Ironische Randnotiz, Microsoft hat es anscheinend über ihr hauseigenes Apple Department erwischt. - Kundendaten sind ihres Wissens nach keine entwendet worden, sehr beruhigend. Das könnte sogar zutreffend sein, denn ich vermute, da brauchte jemand ein paar neue geklaute Zertifikate für etwas größeres das uns möglicherweise noch bevor steht. Ich hoffe für die Firmen, dass sie zumindest alle auf den Geräten gespeicherten Kennwörter umgehend geändert haben.
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	05.03.2013 - 11:56 Zitat von mr.nice. Ich finde es schon beachtlich, dass man damit erfolgreich Firmengeräte von Apple, Facebook und Microsoft penetrieren konnte. Ironische Randnotiz, Microsoft hat es anscheinend über ihr hauseigenes Apple Department erwischt. - Kundendaten sind ihres Wissens nach keine entwendet worden, sehr beruhigend. Geh bitte. Bei Facebook ist "auch nix passiert". Das ist ja klar, wenn jemand eine gezielte Attacke fährt (wurde von FB so genannt), dann kommt er ins System und macht erst mal gar nichts.. btw Update schon wieder gecrackt ? (Ich bin langsam verwirrt ob der schieren Schar von Updates und Lücken) http://www.heise.de/newsticker/meld...ar-1815992.html Offensichtlich sind aber so oder so noch mehrere Lücken offen. Zitat Die gerade veröffentlichen Java-Versionen sind zwar sicherer geworden, aber keineswegs sicher: Der polnische Schwachstellen-Experte Adam Gowdiak erklärte heise Security, dass die von ihm und seinem Team entdeckten Issues 54 bis 60 auch Java 7 Update 17 betreffen. Laut Gowdiak gibt es mindestens zwei Wege, die Java-Sandbox mit speziell präparierten Web-Applets auszutricksen, um ungehindert auf das System zuzugreifen.
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	07.03.2013 - 10:20 Zitat Aber wir reden hier von Oracle: Und die Herren über den Java-Code haben die Gültigkeitsprüfung von Zertifikaten zwar vorgesehen – aber nicht aktiviert. Weder die Kontrolle der Sperrlisten noch der Online-Check via OCSP sind in den Standardeinstellungen aktiv. Und das obwohl Oracle der digitalen Signatur eines Applets so hohen Stellenwert beimisst, dass es damit aus der Sandbox aussteigen und das System eines Anwenders beliebig manipulieren darf – was einem unsignierten Applet prinzipiell erstmal nicht möglich ist. http://www.heise.de/newsticker/meld...ks-1817775.html

Java Zero Day Exploit im Umlauf

Forum Index > Software > Applications, Apps & Drivers

mr.nice.

Hansmaulwurf

Hansmaulwurf