Security: Java weiter unsicher
Noch sind nicht alle Sicherheitslücken in Java geschlossen. (Bild: Andreas Donath/Golem.de)

Security Java weiter unsicher

Auch nach dem letzten Patchday reißen die Meldungen über Sicherheitslücken in Java nicht ab. Jetzt ist eine neue Lücke in der Reflection-API bekanntgeworden. Damit sie greift, muss der Nutzer aber Warnhinweise ignorieren.

Anzeige

Der Sicherheitsexperte Adam Gowdiak hat eine weitere Sicherheitslücke in Java entdeckt, die auch in der aktuellen Version Java 7 Update 21 sowie im JRE-Plugin, in der Entwicklungsumgebung in Server JRE vorhanden ist. Sie kann genutzt werden, um die Sandbox-Funktion auf dem Opferrechner zu umgehen. Allerdings muss der Anwender einen entsprechenden Warnhinweis mit "OK" bestätigen, damit der Schadcode ausgeführt wird.

Gowdiak geht nicht auf die Details der von ihm entdeckten Lücke ein. Er verweist lediglich auf eine Lücke in dem Reflection-API, über das eine Java-Anwendung Klassen dynamisch nutzen kann. Die Lücke sei Oracle bekannt, schreibt der Sicherheitsexperte. Er habe Oracle bereits auf sie hingewiesen und ein entsprechendes Proof-of-Concept präsentiert. Oracle habe die Lücke bestätigt, aber noch nicht repariert. Damit sind noch drei Lücken in der Liste offen, die Gowdiak über die von ihm entdeckten Schwachstellen führt.

Nach Update noch Lücken

Erst vor wenigen Tagen hatte Oracle mit Java 7 Update 21 nach eigenen Angaben 42 Sicherheitslücken geschlossen. Mit dem Update hat Oracle auch die Warnhinweise erhöht, die der Nutzer erhält, wenn nicht vertrauenswürdiger Java-Code auf einer Webseite auftaucht.

Jüngst wurde bekannt, dass Angreifer Java nutzten, um sich Zugriff auf Rechner von Angestellten bei Facebook zu verschaffen. Oracle hat bereits mehrere Notfallpatches außer der Reihe veröffentlicht, nachdem Exploits für nichtgepatchte Sicherheitslücken aufgetaucht sind.

In einer Telefonkonferenz zu den Sicherheitsproblemen von Java hatte Oracle Ende Januar 2013 Besserung und mehr Transparenz in Bezug auf kritische Fragen versprochen.


emkay443 24. Apr 2013

Sofern das möglich und nicht bereits geschehen ist: Browserplugin von java deaktivieren...

Kernschmelze 24. Apr 2013

Wie ich solche Antworten liebe. Dir ist schon klar, dass deine Antwort hier über Google...

endmaster 23. Apr 2013

Das stimmt nicht so ganz. " Auch Pferde, deren Fell durch zahlreiche weiße Stichelhaare...

herojoker 23. Apr 2013

Nicht so ganz; durch das Bestätigen der Meldung hat der Angreifer durch Nutzerhilfe eine...

narfomat 23. Apr 2013

kt =)

Kommentieren



Anzeige

  1. SAP-Modulbetreuer (m/w) Rechnungswesen und Controlling
    HiPP-Werk Georg Hipp OHG, Pfaffenhofen (Raum Ingolstadt)
  2. IT-Prozess- und Anwendungsberater (m/w) Produktinformationsmanagement
    TRUMPF GmbH + Co. KG, Ditzingen (bei Stuttgart)
  3. Projektleiter Software Standardisierung (m/w) Schwerpunkt Fördertechnik
    Dürr Systems GmbH, Bietigheim-Bissingen
  4. Entwicklungsingenieur (m/w) Software
    EBE Elektro-Bau-Elemente GmbH, Leinfelden-Echterdingen bei Stuttgart

 

Detailsuche


Folgen Sie uns
       


  1. Software Development Kit

    Linux-Support und geringere Latenz für Oculus Rift

  2. Big Brother Awards

    Österreich prämiert die EU Kommission und Facebook

  3. iFixit

    Touch-ID-Sensor im iPad mini 3 mit Klebstoff befestigt

  4. Illegales Streaming

    Razzien gegen Betreiber von Kinox.to

  5. Android 4.4.2

    Kitkat-Update für Motorola Razr HD wird verteilt

  6. Galaxy Note 4

    4,5 Millionen verkaufte Geräte in einem Monat

  7. Archos 50 Diamond

    LTE-Smartphone mit Full-HD-Display für 200 Euro

  8. Test Dreamfall Chapters Book One

    Neue Episode von The Longest Journey

  9. iPad Air 2 im Test

    Toll, aber kein Muss

  10. Nocomentator

    Filterkiste blendet Sportkommentare aus



Haben wir etwas übersehen?

E-Mail an news@golem.de



Qubes OS angeschaut: Abschottung bringt mehr Sicherheit
Qubes OS angeschaut
Abschottung bringt mehr Sicherheit

Schenker XMG P505 im Test: Flaches Gaming-Notebook mit überraschender GTX 970M
Schenker XMG P505 im Test
Flaches Gaming-Notebook mit überraschender GTX 970M
  1. Getac S400-S3 Das Ruggedized-Notebook mit SSD-Heizung
  2. Geforce GTX 980M und 970M Maxwell verdoppelt Spielgeschwindigkeit von Notebooks
  3. Toughbook CF-LX3 Panasonics leichtes Notebook mit der Lizenz zum Runterfallen

Legale Streaming-Anbieter im Test: Netflix allein macht auch nicht glücklich
Legale Streaming-Anbieter im Test
Netflix allein macht auch nicht glücklich
  1. Netflix-Statistik Die Schweiz streamt am schnellsten
  2. Deutsche Telekom Entertain ab dem 14. Oktober mit Netflix
  3. HTML5-Videostreaming Netflix bietet volle Linux-Unterstützung

    •  / 
    Zum Artikel