Java: Neue Sicherheitsfunktion bereits ausgehebelt

Im Januar dieses Jahres haben die Entwickler von Oracle das Update 11 für Java in der Version 7 zum Download veröffentlicht. Damit wurde unter anderem eine kritische Sicherheitslücke geschlossen, die bereits angegriffen wurde.

Abgesehen davon wurde mit dem angesprochenen Java-Update auch eine allgemeine Änderung vorgenommen. Die Java-Entwickler aus dem Hause Oracle haben die Sicherheitsstufe von Java hochgedreht. Während in vorherigen Versionen die Standard-Stufe auf "mittel" gesetzt wurde, setzt man nun auf den Java-Security Level "hoch".

Siehe auch: Mozilla und Apple blockieren Java-Plugin im Browser

Werden auf den Systemen unsignierte Java-Web-Apps ausgeführt, so muss der Benutzer dies ausdrücklich bestätigen und dem zustimmen. Bei älteren Java-Versionen wurden die Applets ungefragt ausgeführt, sofern die aktuellste Java-Version auf den Systemen ausgeführt wurde.

Grundsätzlich handelt es sich dabei um ein sehr begrüßenswertes Feature, gerade im Hinblick auf die Sicherheit der Anwender. Allerdings konnte der Sicherheits-Experte Adam Gowdiak diese Sicherheitsfunktion bereits mit Erfolg umgehen. Ein Proof-of-Concept-Applet fertigte Gowdiak an und konnte damit die neue Sicherheitseinstellung umgehen. Effektiv schützen könnten diesbezüglich in seinen Augen nur die "Click to Play"-Funktionalitäten von Browsern wie Chrome und Firefox.

Adam Gowdiak vom Sicherheitsunternehmen Security Explorations machte ebenfalls in diesem Monat auf zwei kritische Schwachstellen in der aktuellen Java-Version 7 Update 11 aufmerksam. Diese Sicherheitslücken könnte ein Angreifer nutzen, um aus der vorhandenen Sandbox auszubrechen und Schadcode auf den Systemen der Opfer auszuführen. Oracle wurde darüber umfassend informiert.

Für Aufsehen sorgte im Januar auch ein Angebot in einem Untergrund-Forum. Darüber stellte man ein neues 0-Day-Exploit für Java zum Preis von 5000 US-Dollar in Aussicht. Einen offiziellen Patch gibt es dafür natürlich noch nicht und vermutlich wird dieser auch nicht in absehbarer Zeit zur Verfügung stehen, sofern dafür keine konkreten Informationen bekannt werden.

Diese Nachricht empfehlen

Nachricht versenden
Kommentieren
Hinweis einsenden

[o1] am

(+1)

Sicherheitslücken, die sicherlich seit Jahren da waren, jedoch unentdeckt blieben, werden nun im Wochenabstand gefunden ... wieso werden die gerade jetzt bekannt?

[re:1] am

@Der_da: Wieso "gerade jetzt"? Die werden andauernd gefunden, mal mehr-, mal weniger gravierend. Einfach mal in eine Expolit DB schauen. // Da stehen natürlich nur die öffentlichen Exploits, selbstverständlich...

Bearbeitet am 29.01.13 um 21:14 Uhr.

[re:2] am

@Der_da: diese sicherheitslücke war sicher nicht jahre schon vorhanden denn die benannte "sicherheitsfunktion" gibts noch nicht so lang

[re:3] am

(-1)

@Der_da: Es ist aktuell eben massiv im Gespräch. Und Alle Seiten ("Gut" wie "Böse") versuchen Lücken zu finden. Mal für Geld, mal für Ansehen. Und Java ist Sicherheitstechnisch einfach massiv zurückgefallen und Aufgrund der Verbreitung, des schlechte Patch Managements und des schlechten Update Systems einfach ein Super Ziel. Wie bei Flash damals auch. jetzt wo es einen zuverlässigen Updater gibt der keine Adminrechte verlangt patchen sich 90% der Rechner selber da lohnt es weniger den Aufwand zu betreiben.

[re:4] am

Ich kann jedem Firefox-User das Add-on Flashblock empfehlen. Es blockt alle Web-Anwendungen die auf Flash basieren und nur wenn man darauf klickt wird die entsprechende Anwendung (Video, Spiel, etc.) gestartet.

Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an

oder verwenden Sie Ihren bestehenden Zugang.

Benutzername oder Passwort vergessen?