ANZEIGE
ANZEIGE
ANZEIGE

Sicherheitsspezialisten aus Polen haben erneut eine Schwachstelle in Java entdeckt, betroffen ist Java 7 unter Windows. Die Lücke ermöglicht die Ausführung von unsigniertem Java-Code ohne Zustimmung des Nutzers. Die kürzlich erhöhten Sicherheitseinstellungen sind damit unwirksam.

Hacker

Entdeckt hat die erneute Sicherheitslücke in Java 7 das polnische Sicherheitsunternehmen Security Explorations. Laut einem Eintrag auf Full Disclosure ist es dadurch möglich, eine von Oracle mit dem jüngsten Update für Java 7 eingeführte Sicherheitseinstellung zu umgehen. Sie sollte eigentlich verhindern, dass unsignierter Java-Code im Hintergrund beziehungsweise ohne Zustimmung des Nutzers ausgeführt wird.

Die neue Anfälligkeit erlaube es jedoch, Schadcode einzuschleusen, indem unsignierte Java-Inhalte auf einer Website ausgeführt würden, schreibt Adam Gowdiak, Gründer von Security Explorations. “Wir haben herausgefunden, dass auf einem Windows-System unabhängig von den vier Einstellungsmöglichkeiten für die Sicherheitsebene unsignierter Java-Code erfolgreich ausgeführt werden kann.” Inzwischen habe seine Firma 53 Löcher in Java 7 entdeckt.

Die Sicherheitseinstellungen im Java Control Panel hatte Oracle im Oktober 2012 mit dem Update 10 für Java 7 eingeführt. Es können die Stufen “niedrig”, “mittel (empfohlen)”, “hoch” und “sehr hoch” ausgewählt werden. “Sehr hoch” bedeutet eigentlich, dass unsignierte Anwendungen die Sandbox der Laufzeitumgebung nicht verlassen können, was Nutzer theoretisch vor allen möglichen Bedrohungen schützen sollte.

“Die Lücke 53 wurde erfolgreich in einer Umgebung mit dem jüngsten Java SE 7 Update 11 (JRE Version 1.7.0_11-b21) unter Windows 7 und mit der Einstellung ‘sehr hoch’ im Control Panel getestet”, ergänzte Gowdiak. Die kürzlich eingeführten “Verbesserungen” für die Sicherheit von Java 7 schützten keineswegs vor stillen Exploits.

Gowdiak bezieht sich damit auf das Mitte Januar erschienene Update 11 für Java 7, mit dem Oracle die Voreinstellung der Sicherheitsstufe von “mittel” auf “hoch” erhöht hatte. “Durch die Einstellung ‘hoch’ wird der Nutzer jedes Mal gewarnt, bevor eine unsignierte Applikation ausgeführt wird, um eine Ausnutzung im Hintergrund zu verhindern”, heißt es in den Versionshinweisen des Update 11.

Java ist aufgrund der hohen Verbreitung ein beliebtes Ziel von Cyberkriminellen. Derzeit ist die Laufzeitumgebung auf mehr als 850 Millionen PCs und Macs weltweit im Einsatz.

Fotogalerie: Cybercrime als Business - Einblicke ins Malweb


» Klicken Sie auf eines der Bilder, um die Fotogalerie zu starten

[mit Material von Stefan Beiersmann, ZDNet.de]

silicon für mobile Geräte
Android-App Google Currents App for iOS

avast! Antivirus

Mehr als 200 Millionen Nutzer vertrauen avast! beim Schutz Ihrer Geräte - mehr als jedem anderen Antiviren-Programm. Und jetzt ist avast! noch besser. Jetzt herunterladen!

Möchten nicht auch Sie wissen, wie zufrieden andere Anwender mit der Nutzung ihrer CRM-Anwendung imSaaS-Modell sind, warum sie sich dagegen entschieden haben oder sich gar nicht damit beschäftigen wollen? Diesen und anderen Fragen geht Hassan Hosseini von The-Industry-Analyst.com in Kooperation mit dem Herausgeber von silicon.de in der aktuellen Umfrage zur CRM Nutzung als "Software as a Service" in Deutschland nach.

Jetzt teilnehmen!

Neuester Kommentar




Ein Kommentar zu Neue Sicherheitslücke in Java 7 entdeckt

  • 30.1.2013 um 07:01 von cakeman

    Haben Sie etwas anderes erwartet ? hier treffen vom Grunddesign 2 Schwachstellen aufeinander. Bei dieser Sprache gepaart mit Microsoft werden immer nur neue Schwachstellen geflickt, es werden mit Sicherheit immer wieder neue Schwachstellen gefunden werden.

Hinterlasse eine Antwort

  • Erforderliche Felder sind markiert *,
    Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>