Mac-Trojaner nutzt ungepatchte Lücke in Java aus

Mitarbeiter des Sicherheitsdienstleisters 'F-Secure' wurden auf eine neue Variante des Mac-Trojaners Flashback aufmerksam. Dieser soll inzwischen eine noch ungepatchte Java-Schwachstelle unter Mac OS X ins Visier nehmen. mehr... Sicherheitslücke, Trojaner, Holz, Trojanisches Pferd Bildquelle: David Haberthür / Flickr Sicherheitslücke, Trojaner, Holz, Trojanisches Pferd Sicherheitslücke, Trojaner, Holz, Trojanisches Pferd David Haberthür / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ich wollte schon HAHA schreiben, aber da es ja eine Java Lücke ist, kann man das nur indirekt Apple anrechnen.
 
@Sam Fisher: Immer wieder lustig. Jedes Mal wenn ich etwas von einer Apple Schwachstelle höre, gibt es tausend Erklärungen, warum das ja eigentlich nicht so schlimm ist und dass Apple keinerlei Schuld trifft.
 
@ctl: okay, mag ja sein. allerdings ist hier die rede von einer javalücke und nicht von einer os x lücke. immerhin "funktioniert" os x hier korrekt durch "fordert die Anwender dazu auf, den Administrator-Login einzugeben". das passiert nur, wenn man eingriffe am laufenden system vornehmen will oder programme installiert. JEDEN mac user macht das an der stelle stutzig wenn eine website nach dem admin kennwort fragt.
 
@Rumpelzahn: Das: "JEDEN mac user macht das an der stelle stutzig wenn eine website nach dem admin kennwort fragt." würde ich keinesfalls unterschreiben! Auch in der Windowswelt sind viele Schädlinge nur dadurch auf dem Rechner, weil Brain.exe nicht gestartet wurde und einfach auf alles geklickt wurde wo 'ok' oder 'ja' oder sonstiges draufsteht. Genau diese User kaufen sich jetzt auch Macs und ich garantiere dir, auch auf einem Mac werden sie wenn eine Webseite das verlangt (die Webseite wird schon wissen), das Passwort eintippen. Geb ich dir Brief und Siegel drauf. Ein System kann noch so sicher sein, es hat immer eine extreme Schwachstelle, den USER! Nicht umsonst ist Social Engineering die beste Möglichkeit in vermeintlich sichere Systeme einzudringen. ;)
 
@fieserfisch: Ist denn bei Apfelsystemen die Vergabe eines Kennwortes zwingend, oder kann man wie bei Windows auch drauf verzichten? Falls es auch ohne ginge, wäre es ja bei einer Installation für viele (bequeme) User auch lediglich ein Bestätigungsklick.
 
@DON666: du kannst zwar den login ohne passwort einstellen, aber installation und änderungen an systemeinstellungen müssen per admin kennwort bestätigt werden.
 
@Rumpelzahn: Alles klar, danke für die Info.
 
@DON666: Kann ich dir nicht sagen, ich nutze keine Apple-Produkte. ;)
 
@fieserfisch: Nee, ich ja auch nicht, deswegen hatte ich gefragt. :)
 
@ctl: Ich bin definitiv kein Apple Fanboy, ich kann den laden nicht leiden. Aber eine Lücke in Java kann man denen nicht wirklich anrechnen als deren versagen. So gerne ich es denen reindrücken würde, das ist so als würde man eine Lücke in Flash Windows in die Schule schieben.
 
@Sam Fisher: doch kann man apple anlasten weil apple die updates für java selbst verteilt und in einigen os versionen auch selbst schon mitliefert....
 
@Sam Fisher: Du vergisst, das Java auf Apple von Apple selbst angepasst / entwickelt wird... darfst schon HAHA schreiben.
@0711: genau... hab dein Kommentar überlesen. sry
 
@Sam Fisher: Also kann man sagen das alle MS Windows Systeme sicher sind.
 
@Sam Fisher: In diesem Fall ist aber doch Apple selber schuld. Oracle hat die Lücke schon vor 2 Monaten gefixed. Apple setzt aber eine selbst kompilierte Version von Java ein und dafür haben sie die letzten Patches im November rausgebracht. Aber auch wenn Apple selber schuld ist, sollte man trotzdem nicht Haha sagen, denn die Leidtragenden sind leider die Benutzer und die können nix dafür.
 
@Nunk-Junge: heut nacht zu mindest ist von apple ein update für java 6#31 rausgekommen.
 
@Rumpelzahn: für oder auf version 31?
 
Seit Heute mittag ligt der patch vor und wird über die softwareaktualisierung verteilt.
http://www.heise.de/security/meldung/Apple-aktualisiert-Java-Unterstuetzung-fuer-Mac-OS-X-1500692.html
 
ich gehe auf eine Website und werde nach dem Admin-Passwort gefragt weil ein Update ... Aber irgendwie kommen diese Entdeckungen immer von Herstellern von Antivirensoftware. Bitte berichtet mal über Mac-Schädlinge, die es ohne Passwortabfrage schaffen, das wäre mal was spannendes.
 
@Janino: Dachte ich mir auch. Ich mein: Ja, OS X ist selbstverständlich nicht SO sicher wie es vielleicht manchmal dargestellt wird(nicht infizierbar).
Aber wenn ich eine Internetseite aufrufe und dann nach meinem Admin-PW gefragt werde, dann tu ich durchaus was. Aber ganz sicher nicht mein PW eingeben. Fenster/Tab schließen vielleicht..joa doch, schon. Aber verdammte Axt nicht das PW eingeben!!!
 
@Janino: Habe JAVA abgeschaltet. :-) Brauch man das heutzutage noch?
 
@wingrill2: Leider ja
 
@bluewater: Was heißt leider? Java ist eine moderne Programmiersprache, ich habe viel Software in Java. Und wieso heutzutage? Java ist als Programmiersprache für Software eigtl. erst im Kommen. Wo früher am Markt vorrangig nach Kenntnissen in C und C++ gefragt wurde, wird heute auf Java gesetzt. Sehr gut geeignet für plattformübergreifendes Progammieren und noch dazu relativ schnell für eine Programmiersprache, die zur Laufzeit compiliert wird.
 
@mh0001: Weil der Ressourcenverbrauch einfach grottig ist.
 
@Janino: Von wem ausser einem der sich täglich damit beschäftigt sollen solche meldungen sonst kommen? Von Tante Emma?
 
@0711: ich hab nur bei diesem iWork-Trojaner , der bei der Tauschbörsenversion 2009 beilag von einer echten Verbreitung gehört, ansonsten gab es immer nur Warnungen von den Antivirensoftware-Herstellern. Normalerweise müssten solche Sachen doch auch mal irgendwie in Umlauf gekommen sein, um erwähnenswert zu sein , oder?
 
@Janino: nur weil du selbst davon nicht betroffen warst/bist heisst das nicht dass diese nicht im umlauf sind, mac defender sei hier z.B. erwähnt welches durchaus eine erwähnenswerte verbreitung hatte. Diese art meldungen hier soll wohl u.a. eine sensibilisierung für dieses thema erreichen, bei vielen mac anwendern ist der sicherheitsgedanke katastrophal verkorkst. In summe bewegen sich macs aber immer noch unterm wirklich interessant radar (ist ja nciht so dass es schon mac botnetze gab, nur haben da die anbieter pro client weniger verdient als an windows botnetzen weil keine nachfrage am markt war ;) )
 
@Janino: Übrigens: http://www.golem.de/news/flashback-trojaner-hat-ueber-eine-halbe-million-macs-unter-kontrolle-1204-90992.html
 
Auch wenn's hier um Macs geht - ist diese Lücke der Grund wieso mein Firefox eben das Java-Plugin deaktivieren wollte?
 
@lutschboy: Bei mir auch!
 
http://blog.mozilla.com/addons/2012/04/02/blocking-java/
 
@heidenf: rechner aktuell halten, dann will er das auch nicht
 
@lutschboy: dann solltest du mal dein java updaten...die lücke wird gerade massiv (auch auf windows pcs) ausgenutzt
 
wenn ich also auf eine fake e-mail antworte und meine kontonummer, PIN und alle meine TANs preisgebe bin ich ebenfalls einem Mac-Trojaner aufgelaufen???
 
@eyck: ja das denken hier nicht wenige. Noch ein größerer Teil kennt noch nicht mal den Unterschied zwischen Viren und Trojaner. Das hindert sie aber nicht daran sich als IT Experten auszugeben ;)
 
@eyck: das wäre dann wohl eher phising
 
Mit dem guten Plan9 wäre das nicht passiert !!!111
 
"...nutzt ungepatchte Lücke in Java aus" - Worin auch sonst. Java ist und bleibt ein dicker fetter Fail.
 
@Omegavirus: So eine pauschale Aussage über Java ist albern! Fakt ist, Java ist auf MacOSX problematisch, ja MacOSX hinkt da hinterher. Beim OpenJDK werden Sicherheitslücken schneller geschlossen, überdies lässt sich beobachten, dass beliebte Java Anwendungen auf OpenJDK deutlich flotter laufen. Ohne Java würden einige wohl ziemlich beliebte Cross-Plattform Anwendungen, wie etwa zum bequemen Downloaden nicht laufen. Natürlich sollte man sich immer überlegen, was man als Browserplugin wirklich braucht und die aktiven Browserplugins auf die tatsächlich benötigten einschränken.
 
@Feuerpferd: Muss dir hier mal wieder zustimmen :) ... Bashing gegen Programmiersprachen kommen meist von denjenigen, die sie nicht beherrschen ;)
 
@Ertel: Naja ich behersche Java, muss auch damit arbeiten finde aber C# bedeutend angenehmer zu nutzen. Aber es gibt ja zum Glück genug gute Sprachen :)
 
@Ertel: Da muss ich dir an dieser Stelle leider widersprechen :) Ich kann Java, genauso wie C#, C, C++, PHP und ein wenig Ruby.
Und unter all den Sprachen halte ich Java für die schlechteste. Erstens geht ohne das JDK bei Java garnichts, wenn dann mal was geht ist das Arschlahm.. Zwei kleine Zitate hierzu: "To say java is nice, because it works on all platforms, is the same as to say: anal sex is nice, because it works on all genders" und zweitens: "Viele Beobachter gehen davon aus, dass Java-Programme in 2-3 Jahren genauso schnell wie C/C++-Programme laufen." (1997) - Klar kann Java nie so schnell sein wie eine kompilierte Sprache ala C, C++ aber wer schnonmal mit der IDE Eclipse oder Zend größere Anwendungen programmieren musste (Die beiden sind in dieser tollen Sprache Java) der weiß wovon ich rede.
 
@Omegavirus: keine derartigen Probleme und ich arbeite an recht großen Systemen. Wer unperformante software schreibt darf sich nicht wundern. das kann man auch schlecht in C machen ;) aber mit vorurteilen von paar jahren rumwedeln ist cool. wie bei windows halt ;)
 
@Omegavirus: und C läuft nicht ohne die stdio, C++ läuft nicht ohne ios, .net läuft nicht ohne die .net standard library ...
 
Und keine 3h nachdem die News auftaucht, schließt Apple die Lücke (Softwareaktualisierung)
 
@Sequoia: Apple ist ja auch nicht Microsoft. Bei Ubuntu werden solche Sachen auch extrem flott aus der Welt geschafft. Als ich mal einen Bug-Report einschickte, bekam ich innerhalb weniger Stunden ein Feedback von einem Entwickler und nach ein paar weiteren Stunden war das Problem behoben. So muss das sein! Nicht einfach einen "Fehlerreport" wegschicken und dann nie wieder davon hören, bis der Wochen oder Monate später irgendwann mal gefixt wird.
 
@noneofthem: Das geht vielleicht in deinem Fall, aber ich glaube nicht dass es bei großen Softwarefirmen oder riesigen Softwareprojekten zielführen ist die Entwickler mit Kundenfeedback zu belästigen. Zumal nicht jedes Feedback die Qualität hat die zu einem Bugfix führen kann und ein Bug oft auch zig mal gemeldet wird. Gut, es gibt Managementsysteme dafür, aber der Entwickler müsste sich ja trotzdem damit befassen.
 
@Sequoia: Neues Java, oder nur Aktualisierung der Schadsoftware Definitionen?
 
@Feuerpferd: Es kam ein neues Java!
 
@Sequoia: rofl...das update welches apple jetzt so zügig verteilt ist etwa 2 monate alt.
 
Bereits gefixt durch Apple seit ein paar Minuten!
 
Zum Surfen einfach ein OS der Wahl in einer virtuellen Maschine laufen lassen. Da braucht man auch so gut wie keinen Virenscanner mehr. Und im Notfall einfach ein stabiles Image der virtuellen einspielen und das verseuchte löschen.
 
Was noch bei Golem stand, der Trojaner überlebt keinen Neustart. Aber wie andere hier schon berichten, hat Apple den Bug bereits behoben.
 
apple hat hier gar nix behoben ... die haben nur das getan, was sie schon hätten vor 2 monaten machen müssen: das java update verteilen müssen! In so fern sehe ich heir apple in der schuld, auch wenn die applejünger immer anderes behaupten: das OS X ist unsicherer Windows 7 (quelle: http://computer.t-online.de/mac-os-x-lion-unsicherer-als-windows-7/id_48709408/index) ... das was Windows unsicher macht ist der user, denn dieser arbeitet unter windows meist als admin und installiert sich die sicherheitslücken durch nutzung von software seitens drittanbietern selber. wenn ich schon diese applejünger sehe/lese, die ohne bezahlung aber wie ein missionar desinformation verbreiten, die dann letztendlich noch falsch sind.... unfassbar.
 
@WhiteLion:
Für einige Leute ist Apple immer schuld und böse, vor allem für die, die Nutzern das Jünger Etikett aufbügeln.
 
@GlennTemp: ich kenn ein gutes zitat: wenn software unter mac oder linux abstürzt (oder lücken aufweist) ist die software schuld, unter windows ist allgemein windows der fehler ;) viele sicherheitslücken in windows kommen durch fremd software, aber windows ist halt immer der fehler =) also bashing auf beiden seiten
 
das bügeln sich die meisten nutzer durch ihr verhalten selber auf.
 
Fix ist übrigens mittlerweile draußen und kann über das Apple Software Update bezogen werden.
EDIT: Ah wurde ja schon zig mal gepostet, sorry ;)
 
Sind wir mal ehrlich: Ich bin weder Apple Hasser noch Microsoft Bewunderer aber für mich als Endverbraucher ist es einfach nur ärgerlich wenn ich mir so einen sinnlosen Virus einfange und dadurch Probleme habe, ganz egal mit welchem System ich arbeite! Da Verstehe ich auch keine - ha geschieht euch recht oder selber schuld usw. Kommentare. Fast jeder wird sich schon mal einen Virus eingefangen haben und weiß daher auch wie schwer es sein kann sowas wieder weg zu bekommen... Sinnvoller wäre es wenn alle mal gegen solche idiotischen Programmierer versuchen würden was zu unternehmen als immer nur mein Mac ist aber schon besser als dein PC zu jammern...
 
Immer wieder lustig, wie man, wegen ein paar Lücken, hier hitzige Diskussionen führt. So was geht aber auch nur bei Apple. In der Überschrift muss nur "Apple" (oder etwas, was man mit der Firma verbinden kann) und "eine Lücke" auftauchen, schon freut sich hier jeder, als ob er höchstpersönlich die Lücke gefunden hätte. *g*
 
ich hab auch das Gefühl dass insb. in diesem Forum besonders gerne im Glashaus mit Steinen geworfen wird...
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Forum