News

Oracles Critical Patch Update Oktober 2011

Überschattet von der gestrigen Aufregung um Duqu veröffentlichte Oracle eine ganze Reihe kritischer Updates (siehe auch „Weiterführende Links“ in der Spalte rechts auf der Seite). Am interessantesten, wenn auch vielleicht mit der geringste Auswirkung, ist das Java-Update SE BEAST. Oracle gibt an, dass insgesamt 57 Schwachstellen in etlichen Produkten aus dem Oracle-Portfolio gestopft wurden, darunter auch Patches für Java und ihr Produkt zur Desktopvirtualisierung, Sun Ray. Das heißeste Thema, über das wir sprechen sollten, ist jedoch das Patch, mit dem die Schwachstelle CVE-2011-3389 oder Sicherheitslöcher in der JSSE geschlossen werden.

In ihrer Präsentation bei der Hackerkonferenz Ekoparty in Argentinien, über die wir im letzten Monat gebloggt haben, stellten die BEAST-Forscher ein neu entwickeltes Exploit vor, mit dem sich SSL/TLS-Sitzungen mit Hilfe einer schon vor fast einem Jahrzehnt beschriebenen Methode knacken lassen. Der Trick ist immer die Implementierung, nicht die Diskussion, so dass diese beeindruckende Arbeit allen wichtigen Entwicklungsunternehmen einen ganzen Haufen Arbeit eingebracht hat. Die Liste dieser Entwickler schließt auch Oracle mit ein, da der für die Demonstration entwickelte Exploit Sicherheitslücken in Java-Code ausnutzte (den Sicherheitsforschern zufolge bestehen die Schwachstellen ebenfalls in Microsoft Silverlight und Javascriptcode, sie hätten das Exploit nur nicht in dieser Form geliefert. Unglücklicherweise ist der BEAST Exploit-Code für Silverlight öffentlich bekannt). Beinahe hatte der Exploit zu einem echten Desaster geführt, als Mozilla in Erwägung zog, die komplette Java Add-On-Nutzung von ihren Browsern zu blockieren: „Derzeit prüfen wir, ob eine generelle Abschaltung von Java in Firefox machbar ist, und werden diesen Blogeintrag entsprechen aktualisieren, sollten wir uns dazu entschieden haben.“ Daher ist es in gewisser Weise überraschend, dass dieses Fix von Oracle mit einem Base Score von 4,3 Punkten nur eine niedrige Risikobewertung innerhalb ihrer Risikomatrix erhielt (auf einer Skala von 1-10, wobei 10 die höchste Risikobewertung darstellt).

Zwischenzeitlich bewertet Oracle sechs verschiedene Java-Patches mit einem Base Score von „10“ in ihrer Risikomatrix, von denen vier dieser Patches mit der höchsten Risikobewertung das kürzlich veröffentlichte Java 7 betreffen. Sie adressieren die Logik in der JRE selbst, AWT, Deserialisierungs- und Scripting-Komponenten in der JRE.

Nach meinen Erfahrungen wird das Oracle Virtualisierungstool „Sun Ray“ bei einer Vielzahl von unternehmenseigenen Cloud-Systemen eingesetzt, so dass Cloud-Administratoren unbedingt darüber Bescheid wissen sollten, dass die Plattform von einem Fix für CVE-2011-3538 betroffen ist, und welche Authentifizierungsfragen sich in diesem Zusammenhang ergeben.

Oracles Critical Patch Update Oktober 2011

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach