Neuer Java-Exploit wird für $ 5000 auf schwarzem Netz verkauft; mögliche Bedrohung für Millionen von PCs

Für Oracle ist es immer wieder deja vu.

Nur Tage nachdem es einen Patch für einen ernsthaften Sicherheitsfehler veröffentlicht hat, der letzte Woche in seiner Java-Programmiersprache entdeckt wurde, macht die Software Schlagzeilen, weil ein weiterer zuvor nicht veröffentlichter Fehler im Programm die Sicherheit von Millionen von PCs bedroht, auf denen die Anwendung noch läuft.

Oracle veröffentlichte einen Fix-Sonntag für einen so schwerwiegenden Java-Fehler, dass das US-Heimatschutzministerium Computer-Benutzern empfohlen hat, die Software zu deaktivieren, wenn sie nicht "absolut notwendig" ist.

[Weitere Informationen: So entfernen Sie Malware von Windows PC]

Dieser Hinweis wurde am Montag vom Computer Emergency Readiness Team der Abteilung (US-CERT) wiederholt, auch nachdem der Patch den Benutzern zur Verfügung gestellt wurde.

Vulnerablity zu verkaufen

Jetzt ist es bei ng berichtete, dass ein unternehmungslustiger Black Hat eine neue Zero Day-Sicherheitslücke für die neueste Version von Java (Version 7, Update 11) an bis zu zwei Käufer für je 5000 US-Dollar verkauft.

Sowohl die Version mit Waffen als auch die Quellcodeversion der Sicherheitslücke Der Security-Blogger Brian Krebs, der das Angebot auf einem exklusiven Cybercrime-Forum entdeckt hat, hat das Angebot dem Verkäufer angeboten.

Da Krebs das Angebot entdeckt hat, wurde es aus dem Kriminalforum entfernt, da der Verkäufer seine Käufer gefunden hat der Exploit.

"Dies sollte meines Erachtens alle Illusionen, die die Sicherheit von Java auf einem Endbenutzer-PC mit sich bringt, zerstreuen, ohne das Programm sorgfältig zu isolieren", schrieb Krebs.

"Dieser neueste Java-Exploit ist schlimmer als der letzte, weil niemand weiß, was es ist", sagt Bogdan Botezatu, leitender E-Threat-Analyst bei dem Anti-Viren-Software-Hersteller Bitdefender.

In dem am Sonntag gepatchten Fehler, erklärte er Exploit-Code wurde identifiziert b y Sicherheitsforscher in einigen beliebten Malware-Kits. Mit dem neuesten Fehler ist es nur dem Verkäufer bekannt.

"Die derzeitige Methode der Ausbeutung wird wahrscheinlich für einen größeren Zeitraum unbekannt bleiben, was auch die Chancen der Angreifer erhöhen wird", sagte Botezatu in einer E-Mail.

Anfang dieser Woche bemerkte Botezatu in einem Blog, dass Cyberkriminelle die Sicherheitslücke auf nicht gepatchten Rechnern ausnutzten, um Ransomware zu installieren, obwohl der Patch von Oracle am Sonntag vorangetrieben wurde.

Oracle Sicherheits-Moves

Zusätzlich zu den Zero-Day-Sicherheitslücke in der Patch-Version von Sonntag: Oracle hat die Java-Sicherheitseinstellung standardmäßig auf "hoch" gesetzt. "Das bedeutet, dass der Benutzer gerade die Ausführung von Java-Applets autorisieren muss, die nicht mit einem gültigen Zertifikat signiert sind", erklärte Jaimie Blasco, Manager von AlienVault Labs, in einer E-Mail.

Dieser Schritt ist ein großer Schritt in Richtung Java sei sicherer in einem Browser, sagte Blasco, es sei alles andere als ein Allheilmittel für Javas Probleme.

"In der Vergangenheit haben wir gesehen, dass die Angreifer ein gültiges Zertifikat zum Signieren von bösartigem Code stehlen konnten." "Überrascht mich, wenn wir sehen, dass diese Technik verwendet wird", sagte er.

Da Java von Schwachstellen durchsetzt ist, empfiehlt Bitdefenders Botezatu Oracle, die Kernkomponenten der Software zu identifizieren und von Grund auf neu zu schreiben.

mehr als ein wenig Neuschreiben der Software wird getan werden, wenn Oracle die nächste Version von Java für September geplant.