Anzeige
Noch sind nicht alle Sicherheitslücken in Java geschlossen.
Noch sind nicht alle Sicherheitslücken in Java geschlossen. (Bild: Andreas Donath/Golem.de)

Security Java weiter unsicher

Auch nach dem letzten Patchday reißen die Meldungen über Sicherheitslücken in Java nicht ab. Jetzt ist eine neue Lücke in der Reflection-API bekanntgeworden. Damit sie greift, muss der Nutzer aber Warnhinweise ignorieren.

Anzeige

Der Sicherheitsexperte Adam Gowdiak hat eine weitere Sicherheitslücke in Java entdeckt, die auch in der aktuellen Version Java 7 Update 21 sowie im JRE-Plugin, in der Entwicklungsumgebung in Server JRE vorhanden ist. Sie kann genutzt werden, um die Sandbox-Funktion auf dem Opferrechner zu umgehen. Allerdings muss der Anwender einen entsprechenden Warnhinweis mit "OK" bestätigen, damit der Schadcode ausgeführt wird.

Gowdiak geht nicht auf die Details der von ihm entdeckten Lücke ein. Er verweist lediglich auf eine Lücke in dem Reflection-API, über das eine Java-Anwendung Klassen dynamisch nutzen kann. Die Lücke sei Oracle bekannt, schreibt der Sicherheitsexperte. Er habe Oracle bereits auf sie hingewiesen und ein entsprechendes Proof-of-Concept präsentiert. Oracle habe die Lücke bestätigt, aber noch nicht repariert. Damit sind noch drei Lücken in der Liste offen, die Gowdiak über die von ihm entdeckten Schwachstellen führt.

Nach Update noch Lücken

Erst vor wenigen Tagen hatte Oracle mit Java 7 Update 21 nach eigenen Angaben 42 Sicherheitslücken geschlossen. Mit dem Update hat Oracle auch die Warnhinweise erhöht, die der Nutzer erhält, wenn nicht vertrauenswürdiger Java-Code auf einer Webseite auftaucht.

Jüngst wurde bekannt, dass Angreifer Java nutzten, um sich Zugriff auf Rechner von Angestellten bei Facebook zu verschaffen. Oracle hat bereits mehrere Notfallpatches außer der Reihe veröffentlicht, nachdem Exploits für nichtgepatchte Sicherheitslücken aufgetaucht sind.

In einer Telefonkonferenz zu den Sicherheitsproblemen von Java hatte Oracle Ende Januar 2013 Besserung und mehr Transparenz in Bezug auf kritische Fragen versprochen.


eye home zur Startseite
emkay443 24. Apr 2013

Sofern das möglich und nicht bereits geschehen ist: Browserplugin von java deaktivieren...

Kernschmelze 24. Apr 2013

Wie ich solche Antworten liebe. Dir ist schon klar, dass deine Antwort hier über Google...

endmaster 23. Apr 2013

Das stimmt nicht so ganz. " Auch Pferde, deren Fell durch zahlreiche weiße Stichelhaare...

herojoker 23. Apr 2013

Nicht so ganz; durch das Bestätigen der Meldung hat der Angreifer durch Nutzerhilfe eine...

narfomat 23. Apr 2013

kt =)

Kommentieren



Anzeige

  1. Softwareentwickler Automotive (m/w)
    Bertrandt Services GmbH, Karlsruhe
  2. Ingenieur (m/w) modellbasierte Entwicklung / Embedded Programmierung
    dSPACE GmbH, Böblingen
  3. (Junior) Web- / Mobile-Entwickler (m/w)
    DuMont Personal Management GmbH, Köln
  4. Software-Entwickler Java/C++ (m/w)
    IVU Traffic Technologies AG, Berlin, Aachen

Detailsuche



Anzeige
Blu-ray-Angebote
  1. VORBESTELLBAR: The Jungle Book 3D+ 2D [3D Blu-ray]
    27,99€ (Vorbesteller-Preisgarantie)
  2. Angebote der Woche
    (u. a. The Dressmaker 11,97€, The Trust 11,97€, Barca 11,97€)
  3. NEU: Der Hobbit: Die Schlacht der fünf Heere [3D Blu-ray]
    9,99€

Weitere Angebote


Folgen Sie uns
       


  1. USA

    Furcht vor Popcorn Time auf Set-Top-Boxen

  2. Unplugged

    Youtube will Fernsehprogramm anbieten

  3. Festnetz

    Telekom-Chef verspricht 500 MBit/s im Kupfernetz

  4. Uncharted 4 im Test

    Meisterdieb in Meisterwerk

  5. Konkurrenz für Bandtechnik

    EMC will Festplatten abschalten

  6. Mobilfunk

    Telekom will bei eSIM keinen Netzwechsel zulassen

  7. Gründung von Algorithm Watch

    Achtgeben auf Algorithmen

  8. Mobilfunk

    Störung zwischen E-Plus-Netz und Telekom

  9. Bug-Bounty-Programm

    Facebooks jüngster Hacker

  10. Taxidienst

    Mytaxi-Bestellungen jetzt per Whatsapp möglich



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Snapchat: Wir kommen in Frieden
Snapchat
Wir kommen in Frieden
  1. O2-Mobilfunknetz Snapchat-Nutzer in Deutschland sind Schüler
  2. Snapchat-Update Fließender Wechsel zwischen Text, Video und Audio
  3. Messaging Snapchat kauft Bitstrips für über 100 Millionen US-Dollar

Gardena Smart Garden im Test: Plug and Spray mit Hindernissen
Gardena Smart Garden im Test
Plug and Spray mit Hindernissen
  1. Revolv Google macht Heimautomatisierung kaputt
  2. Intelligentes Heim Alphabet könnte sich von Nest trennen
  3. You-Rista Kaffeemaschine mit App-Anschluss

Netzpolitik: Edward Snowden ist genervt
Netzpolitik
Edward Snowden ist genervt
  1. Snowden Natural Born Knüller
  2. NSA-Affäre BND-Chef Schindler muss offenbar gehen
  3. Panama-Papers 2,6 TByte Daten zu dubiosen Offshore-Firmen

  1. Re: Glasfasern sind gefährlich.

    Neuro-Chef | 22:00

  2. Re: per Arduino kompilieren und uploaden ?

    am (golem.de) | 22:00

  3. Re: Richtige Vorgehensweise

    Oktavian | 21:58

  4. Re: Quatsch

    tehabe | 21:55

  5. Re: Gute Ideen für die Nutzung von 1Gbit?

    Neuro-Chef | 21:55


  1. 13:08

  2. 11:31

  3. 09:32

  4. 09:01

  5. 19:01

  6. 16:52

  7. 16:07

  8. 15:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel