Abo
  • Services:
Anzeige
Weiterhin Sicherheitslücken in Java
Weiterhin Sicherheitslücken in Java (Bild: Andreas Donath/Golem.de)

Security: Mindestens zwei Sicherheitslücken in aktueller Java-Version

Weiterhin Sicherheitslücken in Java
Weiterhin Sicherheitslücken in Java (Bild: Andreas Donath/Golem.de)

Java SE 7 Update 11 ist anfällig für mindestens zwei Sicherheitslücken. Angreifer können darüber beliebigen Schadcode ausführen und ein fremdes System unter ihre Kontrolle bringen. Einen Patch gibt es bislang nicht.

Das Anfang der Woche von Oracle veröffentlichte Java SE 7 Update 11 hat weiterhin mindestens zwei Sicherheitslücken. Mit dem Update 11 sollte eine Zero-Day-Lücke geschlossen werden, die einige Tage zuvor bekanntwurde. Der Sicherheitsexperte Adam Gowdiak berichtet nun von zwei Sicherheitslöchern in der aktuellen Java-Version. Bereits seit Ende vergangener Woche ist neuer Exploit-Code für die aktuelle Java-Version im Umlauf. Derzeit ist nicht bekannt, ob der in Umlauf befindliche Exploit-Code eine dritte Sicherheitslücke oder aber die beiden von Gowdiak entdeckten Fehler ausnutzt.

Java-Applet kann Sandbox verlassen

Mit den von Gowdiak bemerkten Sicherheitslöchern in Java SE 7 Update 11 kann ein Java-Applet die Sandbox komplett verlassen und so außerhalb davon beliebigen Programmcode ausführen. Mit dem Update 11 wurde eine neue Sicherheitsfunktion in Java SE 7 integriert. Damit werden unsignierte oder selbst signierte Applets nur noch ausgeführt, wenn der Nutzer dem zuvor zugestimmt hat, erklärte Gowdiak Ars Technica. Das gelte auch für die von ihm gefundenen Sicherheitslücken, so dass eine automatische Ausführung von Schadcode nicht möglich sei.

Anzeige

Allerdings dürfte es für Angreifer ein Leichtes sein, Opfer mittels Social Engineering dazu zu bewegen, den Sicherheitsdialog zu bestätigen und den Schadcode damit auf den Rechner zu lassen, meint Gowdiak. Zudem könnte die Sicherheitsabfrage umgangen werden, indem Angreifer gültige Zertifikate stehlen, so dass das Applet als offiziell signiert gilt. Bisher gibt es von Oracle kein Java-Update, das diese Fehler beseitigt. Ob Oracle wieder einen Patch in den nächsten Tagen veröffentlichen wird, ist nicht bekannt. Das kommende reguläre Java-Update ist für den 19. Februar 2013 angesetzt.

Kürzlich hatten diverse staatliche Institutionen vor dem Einsatz von Java gewarnt und zur Deinstallation geraten, dazu zählte auch das Bundesamt für Sicherheit in der Informationstechnik.

Ganz ohne Java geht es in der Onlinewelt nicht überall. Einige Webseiten setzen Java zwingend voraus, so dass eine Deinstallation von Java keine Lösung ist, weil die betreffenden Webseiten dann nicht mehr verwendet werden können. Hier kann es helfen, nur die Java-Webseiten mit einem separaten Browser zu besuchen und nur in diesem die Ausführung von Java zu erlauben. In dem regulären Browser kann Java dann deaktiviert werden, so dass ein Angriff durch Java-Sicherheitslücken unwahrscheinlicher wird. Wer hingegen keine Webseiten besucht, die Java benötigen, kann es ganz deinstallieren.


eye home zur Startseite
BLi8819 21. Jan 2013

Nur das der jDownloader keine Homepage ist, die das Browser-Blugin benötigt. Und danach...

BLi8819 21. Jan 2013

Warum sollte Oracle Java nicht mögen?

Endwickler 21. Jan 2013

Hm, also ich kann auf Java ganz gut verzichten und wenn die Javaexperten hier mal wieder...

ViNic 21. Jan 2013

Das ist auch unter Linux möglich. Das geht aber auch aus Gründen der Bequemlichkeit...

paradigmshift 20. Jan 2013

Flash kannst du vielleicht auf YouTube vollkommen ersetzen mit FF und Chrome, aber au...



Anzeige

Stellenmarkt
  1. Roche Diagnostics GmbH, Berlin
  2. Giesecke & Devrient 3S GmbH, München
  3. Wirecard Technologies GmbH, Aschheim bei München
  4. Gothaer Finanzholding AG, Köln


Anzeige
Hardware-Angebote
  1. (täglich neue Deals)
  2. 94,90€ statt 109,90€
  3. 699,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Tipps für IT-Engagement in Fernost


  1. Sandscout

    Angriff auf Apples Sandkasten

  2. Analogue Nt mini

    Neue NES-Famicom-Konsole kostet 450 US-Dollar

  3. Ministertreffen

    Kryptische Vorschläge zur Entschlüsselung von Kommunikation

  4. Microsoft

    Outlook 2016 versteht Ünicöde nicht so richtig

  5. Urheberrecht

    Der Abmahnerabmahner

  6. Raumfahrt

    Raketenstufen als Wohnung im Weltraum

  7. F1 2016 im Test

    Balsam für die Rennfahrer-Seele

  8. Anti-Tracking-Tool

    Mozilla beteiligt sich an Burdas Browser Cliqz

  9. Displays

    120 Hz für Notebooks, weniger Rand für Smartphones und TVs

  10. Kritische Infrastrukturen

    Wenn die USV Kryptowährungen schürft



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Virtual Reality: Das große Experimentieren hat begonnen
Virtual Reality
Das große Experimentieren hat begonnen
  1. Holodeck-Hackathon Endlich Platz für VR
  2. Gamedeck VR Holodeck braucht Unterstützer
  3. VR One Plus VR-Headset von Zeiss nimmt mehr Smartphones auf

Radeon RX 470 im Test: Die 1080p-Karte für High statt Ultra
Radeon RX 470 im Test
Die 1080p-Karte für High statt Ultra
  1. Radeons RX 480 Die Designs von AMDs Partnern takten höher - und konstanter
  2. Radeon Software 16.7.2 Neuer Grafiktreiber macht die RX 480 etwas schneller
  3. Radeon RX 480 erneut vermessen Treiber reduziert Stromstärke auf PEG-Slot

Garmin Vivosmart HR+ im Hands on: Das Sport-Computerchen
Garmin Vivosmart HR+ im Hands on
Das Sport-Computerchen
  1. Polar M600 Sechs LEDs für eine Pulsmessung
  2. Kluge Uhren Weltweiter Smartwatch-Markt bricht um ein Drittel ein
  3. Garmin Edge 820 Radcomputer zeigt Position der Tourbegleiter

  1. Re: Die Dauer der Abmachung betrage ein Jahr, in...

    Spaghetticode | 22:52

  2. Re: ... ich bin privat umgestiegen. Leider.

    schachbrett | 22:52

  3. Re: Ich will das konservatie MS zurück

    xxsblack | 22:52

  4. Re: So wie man MS halt kennt...

    Spiritogre | 22:48

  5. Re: OLED-Hype?!

    Spaghetticode | 22:46


  1. 17:30

  2. 17:15

  3. 17:04

  4. 16:55

  5. 14:52

  6. 14:26

  7. 14:00

  8. 13:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel