CVE-2012-4681 – Der neue Java 0-Day wird heftig einschlagen

29.08.2012
G DATA Blog

Als bekannt wurde, dass der Exploit sehr wahrscheinlich in Blackhole Exploit Kits eingebaut werden wird, wurde die IT Sicherheitswelt hellhörig, denn diese Kits gehören zu den am weitesten verbreiteten Angriffsinsturmenten im Umlauf - wenn sie nicht sogar das am weitesten verbreitete sind. Jeder wusste: Die Kombinaion aus dem neuen Exploit und dem Exploit Kit, mit Oracles nächstem geplanten Update in erst fast zwei Monaten, wird mächtige Auswirkungen zeigen. Und nicht ganz 48 Stunden nach der Veröffentlichung der Entdeckung haben wir Beweise dafür gefunden:

Wir haben IP Ranges gefunden, die verschiedene URLs bereitstellen, die ein Blackhole Exploit Kit mit der neuen Attacke implementiert hosten (siehe Beispiel-URLs unten). Diese URLs sind sehr kurzlebig und sie sind auch nur eine sehr sehr kleine Spitze des Eisbergs. Wir halten Sie auf dem Laufenden!

Hintergrundinformationen:

Was ist das Problem?

Es wurde eine 0-Day Sicherheitslücke in Oracles Java 7 gefunden. Medienberichten zufolge seien die Angriffe bis jetzt nur zielgerichtet gewesen und nicht weit verbreitet. Da der Exploit-Code jedoch öffentlich gemacht wurde, wird er in Kürze in vielen Exploit-Packs und anderen Angriffsszenarien zu finden sein und die Zahl der registrierten Angriffe wird unweigerlich steigen.

Was muss ich tun?

Bis Oracle einen passenden Patch oder ein passendes Update für Java herausbringt, bleibt nur eine Möglichkeit, die Wirkung des Exploits zu verhindern: Man muss Java 7 für alle installierten Browser deaktivieren. Dies geschieht in zwei Schritten, die beide durchgeführt werden müssen!

Schritt 1: So deaktivieren Sie Java für alle verwendeten Browser

  • Schließen Sie alle Browserfenster
  • Besuchen Sie im Windows Explorer C:\Program Files (x86)\Java\jre7\bin
  • Suchen Sie die Datei javacpl.exe und führen Sie diese als Administrator aus
  • (Rechtsklick auf die Datei, "Als Administrator ausführen" wählen), bestätigen Sie die angezeigte Frage mit "Ja"
  • Wählen Sie: Erweitert > Standard-Java für Browser
  • Entfernen Sie alle Haken bei allen angezeigten Browsern
  • Falls ein Browser ausgegraut ist, kann der Haken dort per Klick auf die Leertaste entfernt werden
  • Bestätigen Sie die Änderungen zunächst mit „Anwenden“, anschließend mit „OK“
  • Sollten Sie (auch) Java in der 64-Bit Version installiert haben, führen Sie diese Anleitung für diese Version (auch) unter der Adresse: C:\Program Files\Java\jre7\bin durch.

Schritt 2: Java in jedem installierten Browser individuell abschalten

  • Schalten Sie nun Java in jedem der auf Ihrem Rechner installierten Browser individuell aus, um den Schutz zu gewährleisten – egal ob sie den Browser aktiv nutzen oder nicht.
  • Firefox (aktuell: 14.0.1)
    Extras > Add-Ons > Plugins > Alle Plugins in Verbindung mit Java deaktivieren
  • Internet Explorer (aktuell: 9.0.9)
    Extras > Add-Ons verwalten > „Anzeigen“ auf „Alle Add-Ons“ stellen > Alle Add-Ons in Verbindung mit Oracle America Inc. deaktivieren
  • Google Chrome (aktuell: 21.0.1180.83)
  • Gegen Sie chrome://settings/content in den Chrome-Browser ein > Plug-Ins > Einzelne Plug-Ins deaktivieren > Alle Plugins in Verbindung mit Java deaktivieren
  • Safari für Windows (aktuell 5.1.5)
    Klicken Sie das Zahnrad > Einstellungen > Sicherheit > Entfernen Sie den Haken bei „Java aktivieren“

So testen Sie, ob Ihre Einstellungen für die aktuelle Bedrohungslage korrekt eingestellt sind:

  • Besuchen Sie mit jedem der installierten Browser folgende Webseite: java.com/de/download/testjava.jsp
  • Wenn Sie angezeigt bekommen, dass "auf Ihrem System [...] keine funktionsfähige Java-Version ermittelt" wurde, bzw. "Java [...] nicht ausgeführt" wird, dann sind die Einstellungen korrekt.
  • Sollte in einem der Browser die Java-Anzeige funktionieren, müssen Sie für diesen Browser die Einstellungen erneut überprüfen.

Kann man Java 7 einfach deinstallieren?

Diese Möglichkeit besteht natürlich. Allerdings wird Java selbstverständlich auch von ganz legitimen Programmen auf Ihrem PC genutzt und ohne die installierten Java-Komponenten büßen Sie dann unter Umständen Funktionen legitimer Programme ein.

Generelle Hinweise zum Umgang mit Oracles Java:

  • Im Allgemeinen ist es ratsam, Java immer auf dem aktuellsten Stand zu halten. Um herauszufinden, ob man die neueste Version hat, kann man folgende Webseite besuchen: www.java.com/de/download/installed.jsp
  • Bitte beachten Sie: Sollte Java im Browser deaktiviert sein (Anleitung oben), ist diese Online-Überprüfung natürlich nicht möglich. Dann können Sie die Version unter Start > Systemsteuerung > Java im Reiter „Allgemein” unter dem Menüpunkt „Info“ sehen
  • Sollten Sie nicht die aktuellste Java Version installiert haben, sollten zunächst alle aktuell installierten Java Versionen deinstalliert werden, bevor die aktuelle Version eingespielt wird. „Wenn alte und nicht unterstützte Java-Versionen auf dem System beibehalten werden, stellt dies ein ernsthaftes Sicherheitsrisiko dar“, erklärt Oracle auf seiner Homepage und wir können diese Aussage nur unterstützen.
  • Folgen sie also Oracles offizieller Anleitung zur Deinstallation alter Java Versionen und laden Sie dann die aktuellste Version von der offiziellen Webseite herunter, um sie zu installieren: www.java.com/de/download/

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein