Erste Webseiten versuchen die seit Ende der vorigen Woche bekannte Lücke in Java Web Start auszunutzen, um die Windows-PCs von Besuchern zu infizieren, berichtet der Antivirenhersteller AVG in seinem Blog. Zu den Seiten soll unter anderem die populäre Plattform songlyrics.com gehören, auf der sich die Texte aktueller Lieder herunterladen lassen. Offenbar haben Kriminelle die Webseite gehackt und Code eingebettet, der den Schadcode von einem russischen Webserver nachlädt. Die Lücke beruht auf der ungenügenden Filterung von URLs, durch die sich mit präparierten URLs Parameter an Java Web Start übergeben lassen, mit denen lokale Anwendungen gestartet werden können. Auf diese Weise lässt sich auch Code aus dem Netz nachladen und starten.Von der Lücke ist nicht nur Windows, sondern auch Unix betroffen. Java für Mac OS X soll nicht verwundbar sein.
Analysen des Dienstes Wepawet (Details zu Wepawet im heisec-Artikel "Malware auf der Spur") zufolge versuchen die Angreifer aber nicht nur die Java-Lücke auszunutzen, sondern darüber hinaus auch noch mehrere Schwachstellen im Adobe Reader. Adobe hat erst gestern mit dem Update 9.3.2 15 Lücken im Reader geschlossen. Aber auch für Java gibt es eine Lösung: Oracle hat das Update 20 für Java 6 veröffentlicht, das offenbar das Problem löst.