Kritische Sicherheitslücke in Java 7 - wird bereits ausgenutzt

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) infor­mier­te die­se Woche über eine kri­ti­sche Sicher­heits­lü­cke in Java 7 und deren Gefah­ren­po­ten­ti­al. Mitt­ler­wei­le wird die­se Lücke bereits aktiv — auch in Deutsch­land — z.B. durch prä­pa­rier­te Wer­be­ban­ner aus­ge­nutzt.  Selbst der Besuch von bekann­ten und seriö­sen Web­sei­ten kann im Zwei­fel nicht vor einer Infek­ti­on über die Sicher­heits­lü­cke schüt­zen, da die­se Ban­ner über Wer­be­netz­wer­ke ein­ge­blen­det werden.

Aus ande­ren Län­dern ist bekannt, dass über die­se Lücke bekann­te Ban­king-Tro­ja­ner auf die Sys­te­me geschleust wur­den, um damit Bank­vor­gän­ge aus­zu­spä­hen und zu mani­pu­lie­ren. Auf­grund der Beschaf­fen­heit der Lücke reicht der blo­ße Besuch einer infi­zier­ten Web­sei­te bereits aus, um den Schäd­ling zu über­tra­gen und zu aktivieren.

Da bis­her noch kein Sicher­heits­up­date vor­liegt, rät das BSI zum Deak­ti­vie­ren oder Deinstal­lie­ren der betrof­fe­nen Java Lauf­zeit­um­ge­bung. Soll­te Java ander­wei­tig auf dem Sys­tem benö­tigt wer­den, so soll­ten Anwen­der zumin­dest die Java Brow­ser Plug­ins deaktivieren.

Update vom 31.08.2012:

Ora­cle hat ein außer­plan­mä­ßi­ges Sicher­heits­up­date zum Schlie­ßen die­ser Sicher­heits­lü­cke bereit­ge­stellt. Es wird emp­foh­len, das Update manu­ell über den Link

https://​www​.java​.com/​d​e​/​d​o​w​n​l​o​a​d​/​m​a​n​u​a​l​.​jsp

ein­zu­spie­len, um die Zeit­ver­zö­ge­rung des auto­ma­ti­schen Updates zu umgehen.