Java: Neue Sicherheitsfunktion bereits ausgehebelt

Im Januar dieses Jahres haben die Entwickler von Oracle das Update 11 für Java in der Version 7 zum Download veröffentlicht. Damit wurde unter anderem eine kritische Sicherheitslücke geschlossen, die bereits angegriffen wurde. Abgesehen davon wurde mit dem angesprochenen Java-Update auch eine allgemeine Änderung vorgenommen. Die Java-Entwickler aus dem Hause Oracle haben die Sicherheitsstufe von Java hochgedreht. Während in vorherigen Versionen die Standard-Stufe auf "mittel" gesetzt wurde, setzt man nun auf den Java-Security Level "hoch".

Siehe auch: Mozilla und Apple blockieren Java-Plugin im Browser

Werden auf den Systemen unsignierte Java-Web-Apps ausgeführt, so muss der Benutzer dies ausdrücklich bestätigen und dem zustimmen. Bei älteren Java-Versionen wurden die Applets ungefragt ausgeführt, sofern die aktuellste Java-Version auf den Systemen ausgeführt wurde.

Grundsätzlich handelt es sich dabei um ein sehr begrüßenswertes Feature, gerade im Hinblick auf die Sicherheit der Anwender. Allerdings konnte der Sicherheits-Experte Adam Gowdiak diese Sicherheitsfunktion bereits mit Erfolg umgehen. Ein Proof-of-Concept-Applet fertigte Gowdiak an und konnte damit die neue Sicherheitseinstellung umgehen. Effektiv schützen könnten diesbezüglich in seinen Augen nur die "Click to Play"-Funktionalitäten von Browsern wie Chrome und Firefox.

Adam Gowdiak vom Sicherheitsunternehmen Security Explorations machte ebenfalls in diesem Monat auf zwei kritische Schwachstellen in der aktuellen Java-Version 7 Update 11 aufmerksam. Diese Sicherheitslücken könnte ein Angreifer nutzen, um aus der vorhandenen Sandbox auszubrechen und Schadcode auf den Systemen der Opfer auszuführen. Oracle wurde darüber umfassend informiert.

Für Aufsehen sorgte im Januar auch ein Angebot in einem Untergrund-Forum. Darüber stellte man ein neues 0-Day-Exploit für Java zum Preis von 5000 US-Dollar in Aussicht. Einen offiziellen Patch gibt es dafür natürlich noch nicht und vermutlich wird dieser auch nicht in absehbarer Zeit zur Verfügung stehen, sofern dafür keine konkreten Informationen bekannt werden. Java, Sun Microsystems, Webtechnologie Java, Sun Microsystems, Webtechnologie Sun
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 07:05 Uhr USB C auf 3,5 mm Klinke ?MFi-Zertifiziert? USB C auf Kopfhörerbuchse Audioadapter, USB C auf Kopfhörerbuchse Adapter für iPad Pro, Galaxy S22/S21/S20/Note20, Google Pixel 4/3/2, OnePlus 9. XiaomiUSB C auf 3,5 mm Klinke ?MFi-Zertifiziert? USB C auf Kopfhörerbuchse Audioadapter, USB C auf Kopfhörerbuchse Adapter für iPad Pro, Galaxy S22/S21/S20/Note20, Google Pixel 4/3/2, OnePlus 9. Xiaomi
Original Amazon-Preis
7,78
Im Preisvergleich ab
?
Blitzangebot-Preis
5,94
Ersparnis zu Amazon 24% oder 1,84

Video-Empfehlungen

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!