Java: Neue Sicherheitsfunktion bereits ausgehebelt

Java, Sun Microsystems, Webtechnologie Bildquelle: Sun
Im Januar dieses Jahres haben die Entwickler von Oracle das Update 11 für Java in der Version 7 zum Download veröffentlicht. Damit wurde unter anderem eine kritische Sicherheitslücke geschlossen, die bereits angegriffen wurde. Abgesehen davon wurde mit dem angesprochenen Java-Update auch eine allgemeine Änderung vorgenommen. Die Java-Entwickler aus dem Hause Oracle haben die Sicherheitsstufe von Java hochgedreht. Während in vorherigen Versionen die Standard-Stufe auf "mittel" gesetzt wurde, setzt man nun auf den Java-Security Level "hoch".

Siehe auch: Mozilla und Apple blockieren Java-Plugin im Browser

Werden auf den Systemen unsignierte Java-Web-Apps ausgeführt, so muss der Benutzer dies ausdrücklich bestätigen und dem zustimmen. Bei älteren Java-Versionen wurden die Applets ungefragt ausgeführt, sofern die aktuellste Java-Version auf den Systemen ausgeführt wurde.

Grundsätzlich handelt es sich dabei um ein sehr begrüßenswertes Feature, gerade im Hinblick auf die Sicherheit der Anwender. Allerdings konnte der Sicherheits-Experte Adam Gowdiak diese Sicherheitsfunktion bereits mit Erfolg umgehen. Ein Proof-of-Concept-Applet fertigte Gowdiak an und konnte damit die neue Sicherheitseinstellung umgehen. Effektiv schützen könnten diesbezüglich in seinen Augen nur die "Click to Play"-Funktionalitäten von Browsern wie Chrome und Firefox.

Adam Gowdiak vom Sicherheitsunternehmen Security Explorations machte ebenfalls in diesem Monat auf zwei kritische Schwachstellen in der aktuellen Java-Version 7 Update 11 aufmerksam. Diese Sicherheitslücken könnte ein Angreifer nutzen, um aus der vorhandenen Sandbox auszubrechen und Schadcode auf den Systemen der Opfer auszuführen. Oracle wurde darüber umfassend informiert.

Für Aufsehen sorgte im Januar auch ein Angebot in einem Untergrund-Forum. Darüber stellte man ein neues 0-Day-Exploit für Java zum Preis von 5000 US-Dollar in Aussicht. Einen offiziellen Patch gibt es dafür natürlich noch nicht und vermutlich wird dieser auch nicht in absehbarer Zeit zur Verfügung stehen, sofern dafür keine konkreten Informationen bekannt werden. Java, Sun Microsystems, Webtechnologie Java, Sun Microsystems, Webtechnologie Sun
Diese Nachricht empfehlen
Kommentieren28
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 16:59Logitech Harmony Ultimate FernbedienungLogitech Harmony Ultimate Fernbedienung
Original Amazon-Preis
199
Blitzangebot-Preis
164,99
Ersparnis 17% oder 34,01
Im WinFuture Preisvergleich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden