Weiterhin Sicherheitslücken in Java
Weiterhin Sicherheitslücken in Java (Bild: Andreas Donath/Golem.de)

Security Mindestens zwei Sicherheitslücken in aktueller Java-Version

Java SE 7 Update 11 ist anfällig für mindestens zwei Sicherheitslücken. Angreifer können darüber beliebigen Schadcode ausführen und ein fremdes System unter ihre Kontrolle bringen. Einen Patch gibt es bislang nicht.

Anzeige

Das Anfang der Woche von Oracle veröffentlichte Java SE 7 Update 11 hat weiterhin mindestens zwei Sicherheitslücken. Mit dem Update 11 sollte eine Zero-Day-Lücke geschlossen werden, die einige Tage zuvor bekanntwurde. Der Sicherheitsexperte Adam Gowdiak berichtet nun von zwei Sicherheitslöchern in der aktuellen Java-Version. Bereits seit Ende vergangener Woche ist neuer Exploit-Code für die aktuelle Java-Version im Umlauf. Derzeit ist nicht bekannt, ob der in Umlauf befindliche Exploit-Code eine dritte Sicherheitslücke oder aber die beiden von Gowdiak entdeckten Fehler ausnutzt.

Java-Applet kann Sandbox verlassen

Mit den von Gowdiak bemerkten Sicherheitslöchern in Java SE 7 Update 11 kann ein Java-Applet die Sandbox komplett verlassen und so außerhalb davon beliebigen Programmcode ausführen. Mit dem Update 11 wurde eine neue Sicherheitsfunktion in Java SE 7 integriert. Damit werden unsignierte oder selbst signierte Applets nur noch ausgeführt, wenn der Nutzer dem zuvor zugestimmt hat, erklärte Gowdiak Ars Technica. Das gelte auch für die von ihm gefundenen Sicherheitslücken, so dass eine automatische Ausführung von Schadcode nicht möglich sei.

Allerdings dürfte es für Angreifer ein Leichtes sein, Opfer mittels Social Engineering dazu zu bewegen, den Sicherheitsdialog zu bestätigen und den Schadcode damit auf den Rechner zu lassen, meint Gowdiak. Zudem könnte die Sicherheitsabfrage umgangen werden, indem Angreifer gültige Zertifikate stehlen, so dass das Applet als offiziell signiert gilt. Bisher gibt es von Oracle kein Java-Update, das diese Fehler beseitigt. Ob Oracle wieder einen Patch in den nächsten Tagen veröffentlichen wird, ist nicht bekannt. Das kommende reguläre Java-Update ist für den 19. Februar 2013 angesetzt.

Kürzlich hatten diverse staatliche Institutionen vor dem Einsatz von Java gewarnt und zur Deinstallation geraten, dazu zählte auch das Bundesamt für Sicherheit in der Informationstechnik.

Ganz ohne Java geht es in der Onlinewelt nicht überall. Einige Webseiten setzen Java zwingend voraus, so dass eine Deinstallation von Java keine Lösung ist, weil die betreffenden Webseiten dann nicht mehr verwendet werden können. Hier kann es helfen, nur die Java-Webseiten mit einem separaten Browser zu besuchen und nur in diesem die Ausführung von Java zu erlauben. In dem regulären Browser kann Java dann deaktiviert werden, so dass ein Angriff durch Java-Sicherheitslücken unwahrscheinlicher wird. Wer hingegen keine Webseiten besucht, die Java benötigen, kann es ganz deinstallieren.


BLi8819 21. Jan 2013

Nur das der jDownloader keine Homepage ist, die das Browser-Blugin benötigt. Und danach...

BLi8819 21. Jan 2013

Warum sollte Oracle Java nicht mögen?

Endwickler 21. Jan 2013

Hm, also ich kann auf Java ganz gut verzichten und wenn die Javaexperten hier mal wieder...

ViNic 21. Jan 2013

Das ist auch unter Linux möglich. Das geht aber auch aus Gründen der Bequemlichkeit...

paradigmshift 20. Jan 2013

Flash kannst du vielleicht auf YouTube vollkommen ersetzen mit FF und Chrome, aber au...

Kommentieren



Anzeige

  1. Softwareentwickler (m/w) ASP.NET
    Softship AG, Hamburg
  2. Softwareentwickler/in
    Landeshauptstadt München, München
  3. IT Anwendungsentwickler / Supporter (m/w) MES Umfeld
    Endress+Hauser Wetzer GmbH + Co. KG, Nesselwang
  4. Produktmanager (m/w)
    BRUNATA Wärmemesser-Ges. Schultheiss GmbH + Co., Hürth

Detailsuche


Spiele-Angebote
  1. Xbox One The Witcher: Wild Hunt Bundle
    399,00€
  2. Mafia III
    59,99€ mit Vorbesteller-Preisgarantie
  3. VORBESTELLBAR: PlayStation 4 - Konsole (1TB) Star Wars Battlefront Limited Edition
    499,00€ (Vorbesteller-Preisgarantie)

Weitere Angebote


Folgen Sie uns
       


  1. Sony Xperia Z5 Premium

    Ein 4K-Display macht noch längst kein 4K-Smartphone

  2. Ifa-Ausblick im Video

    Notebook mit Wasserkühlung, ein Smartphone und eine Uhr

  3. Samsung Gear S2 im Hands on

    Drehbarer Ring schlägt Touchscreen

  4. Mobiles Internet

    Vodafone überbrückt Warten auf DSL-Anschluss mit Surfstick

  5. Alienware X51 R3

    Mini-PC setzt auf interne WaKü und externe Grafikkarten-Box

  6. Cross-Site-Scripting

    Netflix stellt Tool zum Auffinden von Sicherheitslücken vor

  7. Asynchronous Shader

    Nvidias Grafikkarten soll eine wichtige DX12-Funktion fehlen

  8. Huawei G8

    Neues Smartphone mit Fingerabdrucksensor für 400 Euro

  9. Pioneer XDP-100R

    Android-basierter Hi-Res-Audio-Player

  10. Verbraucherschützer

    Nicht über neue Hardware bei All-IP-Umstellung informiert



Haben wir etwas übersehen?

E-Mail an news@golem.de



Game Writer: Warum Quereinsteiger selten gute Storys für Spiele schreiben
Game Writer
Warum Quereinsteiger selten gute Storys für Spiele schreiben
  1. This War of Mine Krieg mit The Little Ones auf Konsole
  2. Swapster Deutsche Börse plant Handelsplattform für Spieler
  3. Ninja Theory Hellblade und eine Heldin mit Trauma

Until Dawn im Test: Ich weiß, was du diesen Sommer spielen solltest
Until Dawn im Test
Ich weiß, was du diesen Sommer spielen solltest
  1. The Flock im Test Versteck spielen, bis alle tot sind
  2. Everybody's Gone to the Rapture im Test Spaziergang am Rande der Apokalypse
  3. Submerged im Test Einschläferndes Abenteuer

Uberchord ausprobiert: Besser spielen statt Highscore jagen
Uberchord ausprobiert
Besser spielen statt Highscore jagen
  1. Umfrage Jeder vierte Nutzer hat Probleme beim Streaming
  2. Copyrightstreit um Happy Birthday Kinderlieder gegen Time Warner
  3. DAB+ WDR schaltet seine Mittelwellensender ab

  1. Re: Interessant da denkt noch jemand über das UI nach

    violator | 07:44

  2. Re: Erster Gedanke

    elidor | 07:41

  3. Re: Owncloud auf 1&1 Server?

    chefin | 07:36

  4. Re: wer braucht sowas heute noch?

    Mario | 07:35

  5. Re: Die Telekom ignoriert vieles..

    Ovaron | 07:32


  1. 07:00

  2. 22:52

  3. 19:00

  4. 18:14

  5. 18:09

  6. 17:34

  7. 16:42

  8. 16:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel