Noch sind nicht alle Sicherheitslücken in Java geschlossen.
Noch sind nicht alle Sicherheitslücken in Java geschlossen. (Bild: Andreas Donath/Golem.de)

Security Java weiter unsicher

Auch nach dem letzten Patchday reißen die Meldungen über Sicherheitslücken in Java nicht ab. Jetzt ist eine neue Lücke in der Reflection-API bekanntgeworden. Damit sie greift, muss der Nutzer aber Warnhinweise ignorieren.

Anzeige

Der Sicherheitsexperte Adam Gowdiak hat eine weitere Sicherheitslücke in Java entdeckt, die auch in der aktuellen Version Java 7 Update 21 sowie im JRE-Plugin, in der Entwicklungsumgebung in Server JRE vorhanden ist. Sie kann genutzt werden, um die Sandbox-Funktion auf dem Opferrechner zu umgehen. Allerdings muss der Anwender einen entsprechenden Warnhinweis mit "OK" bestätigen, damit der Schadcode ausgeführt wird.

Gowdiak geht nicht auf die Details der von ihm entdeckten Lücke ein. Er verweist lediglich auf eine Lücke in dem Reflection-API, über das eine Java-Anwendung Klassen dynamisch nutzen kann. Die Lücke sei Oracle bekannt, schreibt der Sicherheitsexperte. Er habe Oracle bereits auf sie hingewiesen und ein entsprechendes Proof-of-Concept präsentiert. Oracle habe die Lücke bestätigt, aber noch nicht repariert. Damit sind noch drei Lücken in der Liste offen, die Gowdiak über die von ihm entdeckten Schwachstellen führt.

Nach Update noch Lücken

Erst vor wenigen Tagen hatte Oracle mit Java 7 Update 21 nach eigenen Angaben 42 Sicherheitslücken geschlossen. Mit dem Update hat Oracle auch die Warnhinweise erhöht, die der Nutzer erhält, wenn nicht vertrauenswürdiger Java-Code auf einer Webseite auftaucht.

Jüngst wurde bekannt, dass Angreifer Java nutzten, um sich Zugriff auf Rechner von Angestellten bei Facebook zu verschaffen. Oracle hat bereits mehrere Notfallpatches außer der Reihe veröffentlicht, nachdem Exploits für nichtgepatchte Sicherheitslücken aufgetaucht sind.

In einer Telefonkonferenz zu den Sicherheitsproblemen von Java hatte Oracle Ende Januar 2013 Besserung und mehr Transparenz in Bezug auf kritische Fragen versprochen.


emkay443 24. Apr 2013

Sofern das möglich und nicht bereits geschehen ist: Browserplugin von java deaktivieren...

Kernschmelze 24. Apr 2013

Wie ich solche Antworten liebe. Dir ist schon klar, dass deine Antwort hier über Google...

endmaster 23. Apr 2013

Das stimmt nicht so ganz. " Auch Pferde, deren Fell durch zahlreiche weiße Stichelhaare...

herojoker 23. Apr 2013

Nicht so ganz; durch das Bestätigen der Meldung hat der Angreifer durch Nutzerhilfe eine...

narfomat 23. Apr 2013

kt =)

Kommentieren



Anzeige

  1. Datenanalyst / Datenanalystin Banksteuerung
    Volksbank RheinAhrEifel eG, Mendig
  2. Produktmanager Digital (m/w)
    Commerz Finanz GmbH, München
  3. Senior Java- / Web-Entwickler / Java- / Web-Entwickler (m/w)
    OCLC GmbH, Oberhaching
  4. SAP Business Process Expert (m/w) Module SD/MM/PP
    Brüel & Kjaer Vibro, Darmstadt

 

Detailsuche


Folgen Sie uns
       


  1. Gift Trading

    Steam ändert Regeln für geschenkte Spiele

  2. Fluggastdaten

    EuGH soll PNR-Abkommen mit Kanada prüfen

  3. LLGO

    Go-Compiler auf Basis von LLVM

  4. Operation Eikonal

    Regierung schüchtert Ausschuss mit extremem Geheimschutz ein

  5. Creative Commons

    Deutschlandradio darf CC-BY-NC-Bild nutzen

  6. Vodafone All-in-One

    Bündelangebot mit LTE, 100 MBit/s und TV für 60 Euro

  7. Wemo

    Belkin verkauft LED-Lampen mit Internetanschluss

  8. Chipfertigung

    7-Nanometer-Technik arbeitet mit EUV-Lithografie

  9. Plugins

    NPAPI in Chrome nur noch bis September 2015

  10. The Intercept

    NSA und GCHQ sollen Cyberwaffe Regin eingesetzt haben



Haben wir etwas übersehen?

E-Mail an news@golem.de



NSA-Ausschuss: Meisterschule für Geheimniskrämer
NSA-Ausschuss
Meisterschule für Geheimniskrämer
  1. Kanzlerhandy Bundesanwaltschaft will NSA-Ermittlungsverfahren einstellen
  2. NSA und Co. US-Geheimdienste melden viele Zero-Day-Lücken vertraulich
  3. IT-Sicherheitsgesetz BSI soll Sicherheitslücken nicht geheim halten

Next-Gen-Geburtstag: Xbox One und Playstation 4 sind eins
Next-Gen-Geburtstag
Xbox One und Playstation 4 sind eins
  1. Big Fish Games Bis zu 885 Millionen US-Dollar für Casualgames-Anbieter
  2. This War of Mine Das traurigste Spiel des Jahres
  3. Qbert & Co 901 Spielhallenklassiker im Onlinearchiv

Panasonic Lumix DMC-LX100 im Test: Kamera zum Begeistern und zum Verzweifeln
Panasonic Lumix DMC-LX100 im Test
Kamera zum Begeistern und zum Verzweifeln
  1. Systemkamera Sony Alpha 7 II mit 5-Achsen-Bildstabilisierung
  2. Canon PowerShot G7 X im Test Canons Konkurrenz zu Sonys 1-Zoll-Kamera
  3. Interne Dokumente Neuer Sony-Sensor könnte Kameras kraftvoller machen

    •  / 
    Zum Artikel