Noch sind nicht alle Sicherheitslücken in Java geschlossen.
Noch sind nicht alle Sicherheitslücken in Java geschlossen. (Bild: Andreas Donath/Golem.de)

Security Java weiter unsicher

Auch nach dem letzten Patchday reißen die Meldungen über Sicherheitslücken in Java nicht ab. Jetzt ist eine neue Lücke in der Reflection-API bekanntgeworden. Damit sie greift, muss der Nutzer aber Warnhinweise ignorieren.

Anzeige

Der Sicherheitsexperte Adam Gowdiak hat eine weitere Sicherheitslücke in Java entdeckt, die auch in der aktuellen Version Java 7 Update 21 sowie im JRE-Plugin, in der Entwicklungsumgebung in Server JRE vorhanden ist. Sie kann genutzt werden, um die Sandbox-Funktion auf dem Opferrechner zu umgehen. Allerdings muss der Anwender einen entsprechenden Warnhinweis mit "OK" bestätigen, damit der Schadcode ausgeführt wird.

Gowdiak geht nicht auf die Details der von ihm entdeckten Lücke ein. Er verweist lediglich auf eine Lücke in dem Reflection-API, über das eine Java-Anwendung Klassen dynamisch nutzen kann. Die Lücke sei Oracle bekannt, schreibt der Sicherheitsexperte. Er habe Oracle bereits auf sie hingewiesen und ein entsprechendes Proof-of-Concept präsentiert. Oracle habe die Lücke bestätigt, aber noch nicht repariert. Damit sind noch drei Lücken in der Liste offen, die Gowdiak über die von ihm entdeckten Schwachstellen führt.

Nach Update noch Lücken

Erst vor wenigen Tagen hatte Oracle mit Java 7 Update 21 nach eigenen Angaben 42 Sicherheitslücken geschlossen. Mit dem Update hat Oracle auch die Warnhinweise erhöht, die der Nutzer erhält, wenn nicht vertrauenswürdiger Java-Code auf einer Webseite auftaucht.

Jüngst wurde bekannt, dass Angreifer Java nutzten, um sich Zugriff auf Rechner von Angestellten bei Facebook zu verschaffen. Oracle hat bereits mehrere Notfallpatches außer der Reihe veröffentlicht, nachdem Exploits für nichtgepatchte Sicherheitslücken aufgetaucht sind.

In einer Telefonkonferenz zu den Sicherheitsproblemen von Java hatte Oracle Ende Januar 2013 Besserung und mehr Transparenz in Bezug auf kritische Fragen versprochen.


emkay443 24. Apr 2013

Sofern das möglich und nicht bereits geschehen ist: Browserplugin von java deaktivieren...

Kernschmelze 24. Apr 2013

Wie ich solche Antworten liebe. Dir ist schon klar, dass deine Antwort hier über Google...

endmaster 23. Apr 2013

Das stimmt nicht so ganz. " Auch Pferde, deren Fell durch zahlreiche weiße Stichelhaare...

herojoker 23. Apr 2013

Nicht so ganz; durch das Bestätigen der Meldung hat der Angreifer durch Nutzerhilfe eine...

narfomat 23. Apr 2013

kt =)

Kommentieren



Anzeige

  1. Gruppenleiter/-in Security und IT-Systeme
    Robert Bosch GmbH, Renningen
  2. (Senior) Softwareentwickler (Microsoft) (m/w)
    arvato systems S4M GmbH, Köln
  3. Software Tester / Testspezialist: Testmanagement / Senior Software Testmanager (m/w)
    imbus AG, Möhrendorf, Köln
  4. Linux Software Entwickler / Tester (m/w)
    imbus AG, München

 

Detailsuche


Folgen Sie uns
       


  1. Bungie

    Destiny und der Gesundheitsbalken

  2. Galaxy A3 und A5

    Samsungs dünne Smartphones im Metallkleid

  3. MSI GT80 Titan

    Erstes Gaming-Notebook mit mechanischer Tastatur

  4. Ministerpräsident

    Viktor Orban zieht Internetsteuer für Ungarn zurück

  5. Spielentwickung

    Engine-Trends jenseits der Grafik

  6. Gesetz über geistiges Eigentum

    Spanien erlässt eine Google-Gebühr

  7. Android-Smartphone

    Huaweis Ascend Mate 7 für 500 Euro zu haben

  8. Crescent Bay

    Oculus Rift und die Sache mit dem T-Rex

  9. Foto-App

    Instagram jetzt auch mit Werbefilmen

  10. Personalie

    Android-Schöpfer Andy Rubin verlässt Google



Haben wir etwas übersehen?

E-Mail an news@golem.de



Moore's Law: Totgesagte schrumpfen länger
Moore's Law
Totgesagte schrumpfen länger

Samsung Galaxy Note 4 im Test: Ausdauerndes Riesen-Smartphone mit Top-Hardware
Samsung Galaxy Note 4 im Test
Ausdauerndes Riesen-Smartphone mit Top-Hardware
  1. Galaxy Note 4 4,5 Millionen verkaufte Geräte in einem Monat
  2. Samsung Galaxy Note 4 wird teurer und kommt früher
  3. Gapgate Spalt im Samsung Galaxy Note 4 ist gewollt

iPad Air 2 im Test: Toll, aber kein Muss
iPad Air 2 im Test
Toll, aber kein Muss
  1. Tablet Apple verdient am iPad Air 2 weniger als am Vorgänger
  2. iFixit iPad Air 2 - wehe, wenn es kaputtgeht
  3. iPad Air 2 Benchmark Apples A8X überrascht mit drei Prozessor-Kernen

    •  / 
    Zum Artikel