Noch sind nicht alle Sicherheitslücken in Java geschlossen.
Noch sind nicht alle Sicherheitslücken in Java geschlossen. (Bild: Andreas Donath/Golem.de)

Security Java weiter unsicher

Auch nach dem letzten Patchday reißen die Meldungen über Sicherheitslücken in Java nicht ab. Jetzt ist eine neue Lücke in der Reflection-API bekanntgeworden. Damit sie greift, muss der Nutzer aber Warnhinweise ignorieren.

Anzeige

Der Sicherheitsexperte Adam Gowdiak hat eine weitere Sicherheitslücke in Java entdeckt, die auch in der aktuellen Version Java 7 Update 21 sowie im JRE-Plugin, in der Entwicklungsumgebung in Server JRE vorhanden ist. Sie kann genutzt werden, um die Sandbox-Funktion auf dem Opferrechner zu umgehen. Allerdings muss der Anwender einen entsprechenden Warnhinweis mit "OK" bestätigen, damit der Schadcode ausgeführt wird.

Gowdiak geht nicht auf die Details der von ihm entdeckten Lücke ein. Er verweist lediglich auf eine Lücke in dem Reflection-API, über das eine Java-Anwendung Klassen dynamisch nutzen kann. Die Lücke sei Oracle bekannt, schreibt der Sicherheitsexperte. Er habe Oracle bereits auf sie hingewiesen und ein entsprechendes Proof-of-Concept präsentiert. Oracle habe die Lücke bestätigt, aber noch nicht repariert. Damit sind noch drei Lücken in der Liste offen, die Gowdiak über die von ihm entdeckten Schwachstellen führt.

Nach Update noch Lücken

Erst vor wenigen Tagen hatte Oracle mit Java 7 Update 21 nach eigenen Angaben 42 Sicherheitslücken geschlossen. Mit dem Update hat Oracle auch die Warnhinweise erhöht, die der Nutzer erhält, wenn nicht vertrauenswürdiger Java-Code auf einer Webseite auftaucht.

Jüngst wurde bekannt, dass Angreifer Java nutzten, um sich Zugriff auf Rechner von Angestellten bei Facebook zu verschaffen. Oracle hat bereits mehrere Notfallpatches außer der Reihe veröffentlicht, nachdem Exploits für nichtgepatchte Sicherheitslücken aufgetaucht sind.

In einer Telefonkonferenz zu den Sicherheitsproblemen von Java hatte Oracle Ende Januar 2013 Besserung und mehr Transparenz in Bezug auf kritische Fragen versprochen.


emkay443 24. Apr 2013

Sofern das möglich und nicht bereits geschehen ist: Browserplugin von java deaktivieren...

Kernschmelze 24. Apr 2013

Wie ich solche Antworten liebe. Dir ist schon klar, dass deine Antwort hier über Google...

endmaster 23. Apr 2013

Das stimmt nicht so ganz. " Auch Pferde, deren Fell durch zahlreiche weiße Stichelhaare...

herojoker 23. Apr 2013

Nicht so ganz; durch das Bestätigen der Meldung hat der Angreifer durch Nutzerhilfe eine...

narfomat 23. Apr 2013

kt =)

Kommentieren



Anzeige

  1. SAP - HR Key User (m/w)
    Porsche Holding Salzburg über NP Neumann & Partners, Salzburg (Österreich)
  2. Fachbereichsleiter Bildungsförderung (m/w)
    Datenzentrale Baden-Württemberg, Stuttgart
  3. Netzwerk- und IT-Spezialist (m/w)
    skytron® energy über dispenso HR Solutions + Services GmbH, Berlin-Adlershof
  4. Senior Product Owner eCommerce (m/w)
    über HRM CONSULTING GmbH, Ravensburg (Home-Office möglich)

 

Detailsuche


Blu-ray-Angebote
  1. Gravity - Diamond Luxe Edition [Blu-ray] [Limited Edition]
    12,99€
  2. NEU: Blu-ray-Boxsets zum Aktionspreis
    (u. a. Transformers Trilogie 13,97€, Der Pate 28,97€, Star Trek Collection 59,97€, Die nackte...
  3. The Dark Knight (Steelbook) (exklusiv bei Amazon.de) [Blu-ray] [Limited Edition]
    14,99€ - Release 31.03.

 

Weitere Angebote


Folgen Sie uns
       


  1. Nationales Roaming

    Telefónica legt heute 3G-Netze von O2 und E-Plus zusammen

  2. Tracking

    Klage gegen Googles Safari-Cookies hat Erfolg

  3. Orbit

    Bioware veröffentlicht quelloffenes Online-Framework

  4. Suchranking

    Googles neue Suchformel kann den Markt verändern

  5. Streaming

    Amazon-Streik auf Prime Instant Video ausgeweitet

  6. Netzwerk und Smartphone

    Huawei verdient 4,5 Milliarden US-Dollar

  7. Home Services

    Amazon vermittelt Handwerker

  8. E-Mail-App

    Gmail für Android mit gemeinsamer Inbox

  9. Windows 10

    Project Spartan kann ab sofort ausprobiert werden

  10. Phase One iXU 180

    80 Megapixel für die Drohnenfotografie



Haben wir etwas übersehen?

E-Mail an news@golem.de



Episode Duscae angespielt: Final Fantasy ist endlich wieder zeitgemäß
Episode Duscae angespielt
Final Fantasy ist endlich wieder zeitgemäß
  1. Test Final Fantasy Type-0 HD Chaos und Kampf

KNX-Schwachstellen: Spielen mit den Lichtern der anderen
KNX-Schwachstellen
Spielen mit den Lichtern der anderen
  1. Danalock Wenn das Smartphone die Tür öffnet
  2. Apple Homekit will nicht in jedes Smart Home einziehen
  3. Elgato Eve Heimautomation mit Apple Homekit

Netzneutralität: Autonome Autos brauchen Netz und Mikrochips sind knusprig
Netzneutralität
Autonome Autos brauchen Netz und Mikrochips sind knusprig
  1. Netzneutralität FCC verbietet Überholspuren im Netz
  2. Netzneutralität Was die FCC-Pläne für das Internet bedeuten
  3. Deregulierung FCC soll weitreichende Netzneutralität durchsetzen

  1. Re: O2 Never ever again

    corpid | 11:41

  2. Re: Wer kauft bitte schön ein 850 Euro Handy mit...

    Trollversteher | 11:40

  3. Re: War das nicht schon so?

    taudorinon | 11:39

  4. Re: Microsoft Werbung

    koelnerdom | 11:38

  5. Re: Kundinnen und Kunden schaden

    Anonymouse | 11:37


  1. 11:01

  2. 10:49

  3. 09:54

  4. 09:30

  5. 09:05

  6. 08:32

  7. 07:36

  8. 07:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel