Java: Neue Sicherheitsfunktion bereits ausgehebelt

Im Januar dieses Jahres haben die Entwickler von Oracle das Update 11 für Java in der Version 7 zum Download veröffentlicht. Damit wurde unter anderem eine kritische Sicherheitslücke geschlossen, die bereits angegriffen wurde.
Java, Sun Microsystems, Webtechnologie
Sun
Abgesehen davon wurde mit dem angesprochenen Java-Update auch eine allgemeine Änderung vorgenommen. Die Java-Entwickler aus dem Hause Oracle haben die Sicherheitsstufe von Java hochgedreht. Während in vorherigen Versionen die Standard-Stufe auf "mittel" gesetzt wurde, setzt man nun auf den Java-Security Level "hoch".

Siehe auch: Mozilla und Apple blockieren Java-Plugin im Browser

Werden auf den Systemen unsignierte Java-Web-Apps ausgeführt, so muss der Benutzer dies ausdrücklich bestätigen und dem zustimmen. Bei älteren Java-Versionen wurden die Applets ungefragt ausgeführt, sofern die aktuellste Java-Version auf den Systemen ausgeführt wurde.

Grundsätzlich handelt es sich dabei um ein sehr begrüßenswertes Feature, gerade im Hinblick auf die Sicherheit der Anwender. Allerdings konnte der Sicherheits-Experte Adam Gowdiak diese Sicherheitsfunktion bereits mit Erfolg umgehen. Ein Proof-of-Concept-Applet fertigte Gowdiak an und konnte damit die neue Sicherheitseinstellung umgehen. Effektiv schützen könnten diesbezüglich in seinen Augen nur die "Click to Play"-Funktionalitäten von Browsern wie Chrome und Firefox.

Adam Gowdiak vom Sicherheitsunternehmen Security Explorations machte ebenfalls in diesem Monat auf zwei kritische Schwachstellen in der aktuellen Java-Version 7 Update 11 aufmerksam. Diese Sicherheitslücken könnte ein Angreifer nutzen, um aus der vorhandenen Sandbox auszubrechen und Schadcode auf den Systemen der Opfer auszuführen. Oracle wurde darüber umfassend informiert.

Für Aufsehen sorgte im Januar auch ein Angebot in einem Untergrund-Forum. Darüber stellte man ein neues 0-Day-Exploit für Java zum Preis von 5000 US-Dollar in Aussicht. Einen offiziellen Patch gibt es dafür natürlich noch nicht und vermutlich wird dieser auch nicht in absehbarer Zeit zur Verfügung stehen, sofern dafür keine konkreten Informationen bekannt werden.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!