Abo
  • Services:
Anzeige
Weiterhin Sicherheitslücken in Java
Weiterhin Sicherheitslücken in Java (Bild: Andreas Donath/Golem.de)

Security: Mindestens zwei Sicherheitslücken in aktueller Java-Version

Weiterhin Sicherheitslücken in Java
Weiterhin Sicherheitslücken in Java (Bild: Andreas Donath/Golem.de)

Java SE 7 Update 11 ist anfällig für mindestens zwei Sicherheitslücken. Angreifer können darüber beliebigen Schadcode ausführen und ein fremdes System unter ihre Kontrolle bringen. Einen Patch gibt es bislang nicht.

Das Anfang der Woche von Oracle veröffentlichte Java SE 7 Update 11 hat weiterhin mindestens zwei Sicherheitslücken. Mit dem Update 11 sollte eine Zero-Day-Lücke geschlossen werden, die einige Tage zuvor bekanntwurde. Der Sicherheitsexperte Adam Gowdiak berichtet nun von zwei Sicherheitslöchern in der aktuellen Java-Version. Bereits seit Ende vergangener Woche ist neuer Exploit-Code für die aktuelle Java-Version im Umlauf. Derzeit ist nicht bekannt, ob der in Umlauf befindliche Exploit-Code eine dritte Sicherheitslücke oder aber die beiden von Gowdiak entdeckten Fehler ausnutzt.

Anzeige

Java-Applet kann Sandbox verlassen

Mit den von Gowdiak bemerkten Sicherheitslöchern in Java SE 7 Update 11 kann ein Java-Applet die Sandbox komplett verlassen und so außerhalb davon beliebigen Programmcode ausführen. Mit dem Update 11 wurde eine neue Sicherheitsfunktion in Java SE 7 integriert. Damit werden unsignierte oder selbst signierte Applets nur noch ausgeführt, wenn der Nutzer dem zuvor zugestimmt hat, erklärte Gowdiak Ars Technica. Das gelte auch für die von ihm gefundenen Sicherheitslücken, so dass eine automatische Ausführung von Schadcode nicht möglich sei.

Allerdings dürfte es für Angreifer ein Leichtes sein, Opfer mittels Social Engineering dazu zu bewegen, den Sicherheitsdialog zu bestätigen und den Schadcode damit auf den Rechner zu lassen, meint Gowdiak. Zudem könnte die Sicherheitsabfrage umgangen werden, indem Angreifer gültige Zertifikate stehlen, so dass das Applet als offiziell signiert gilt. Bisher gibt es von Oracle kein Java-Update, das diese Fehler beseitigt. Ob Oracle wieder einen Patch in den nächsten Tagen veröffentlichen wird, ist nicht bekannt. Das kommende reguläre Java-Update ist für den 19. Februar 2013 angesetzt.

Kürzlich hatten diverse staatliche Institutionen vor dem Einsatz von Java gewarnt und zur Deinstallation geraten, dazu zählte auch das Bundesamt für Sicherheit in der Informationstechnik.

Ganz ohne Java geht es in der Onlinewelt nicht überall. Einige Webseiten setzen Java zwingend voraus, so dass eine Deinstallation von Java keine Lösung ist, weil die betreffenden Webseiten dann nicht mehr verwendet werden können. Hier kann es helfen, nur die Java-Webseiten mit einem separaten Browser zu besuchen und nur in diesem die Ausführung von Java zu erlauben. In dem regulären Browser kann Java dann deaktiviert werden, so dass ein Angriff durch Java-Sicherheitslücken unwahrscheinlicher wird. Wer hingegen keine Webseiten besucht, die Java benötigen, kann es ganz deinstallieren.


eye home zur Startseite

Anzeige

Stellenmarkt
  1. Bosch SoftTec GmbH, Hildesheim
  2. Robert Bosch Packaging Technology GmbH, Crailsheim
  3. Heraeus infosystems GmbH, Hanau
  4. über duerenhoff GmbH, Nürtingen


Anzeige
Spiele-Angebote
  1. 8,49€
  2. (-72%) 5,55€

Folgen Sie uns
       


  1. Glasfaser

    M-net schließt weitere 75.000 Haushalte an

  2. Pwned Passwords

    Troy Hunt veröffentlicht eine halbe Milliarde Passworthashes

  3. Smach Z

    PC-Handheld nutzt Ryzen V1000

  4. Staatstrojaner und Quick-Freeze

    Österreich verschärft frühere Überwachungspläne

  5. Allensbach-Studie

    Altersvorsorge selbständiger IT-Experten ist sehr solide

  6. Maschinelles Lernen

    Biometrisches Captcha nutzt Sprache und Bild

  7. Gigabit

    Swisscom führt neue Mobilfunkgeneration 5G schon 2018 ein

  8. Bpfilter

    Linux-Kernel könnte weitere Firewall-Technik bekommen

  9. Media Broadcast

    Freenet TV kommt auch über Satellit

  10. Blizzard

    Update und Turnier für Warcraft 3 angekündigt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Star Trek Discovery: Die verflixte 13. Folge
Star Trek Discovery
Die verflixte 13. Folge
  1. Star Trek Bridge Crew Sternenflotte verlässt Holodeck

Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

  1. Re: Was hier oft verwechselt wird!

    WallyPet | 18:03

  2. Re: Samsung liefert ja auch nur Hardware

    euroregistrar | 18:03

  3. Vehicle to Grid funktioniert nicht

    pointX | 18:00

  4. Re: am interessantesten ist folgender satz:

    a user | 17:59

  5. Re: Es wird Zeit für WC4

    ArcherV | 17:58


  1. 18:09

  2. 18:00

  3. 17:45

  4. 17:37

  5. 17:02

  6. 16:25

  7. 16:15

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel