[gentleman-smart]

Zitat:

Java: Oracle schließt 42 gefährliche Sicherheitslücken
17.04.2013, 09:39 Uhr | Andreas Lerg

Oracle hat planmäßig ein bedeutendes Java-Update veröffentlicht. Java 7 Update 21 schließt insgesamt 42 Sicherheitslücken, von denen 39 als besonders kritisch eingestuft werden. Sie sind über das Internet ausnutzbar und erlauben es, einen Computer aus der Ferne ohne Anmeldung zu übernehmen. Oracle empfiehlt allen Nutzern, das Java Runtime 7 Update 21 möglichst umgehend zu installieren.

Von den 42 mit dem Update geschlossenen Sicherheitslücken stuft Oracle 39 als besonders kritisch ein. Sie ermöglichen Angreifern die Fernsteuerung eines Computers ohne vorherige Authentifizierung. Das aktuelle Update erfolgt im Rahmen der regelmäßigen Quartals-Updates, doch Oracle war in der Vergangenheit durch die massive Zunahme von Angriffen auf Java-Sicherheitslücken auch zu einigen außerplanmäßigen Updates gezwungen.

Häufigere Sicherheitsabfrage

Mit dem Update steigt auch die Zahl der Sicherheitsabfragen. Für Nutzer bedeutet das, dass der Browser beim Besuch von Internetseiten häufiger darüber Informiert, wenn Java-Code auf der Seite vorhanden ist. Der Nutzer muss nun häufiger per Mausklick bestätigen, dass dieser Code ausgeführt werden soll. Die Warnhinweise tauchen zum einen auf, wenn der Nutzer eine veraltete Version von Java auf seinem Computer installiert hat. Zum anderen tauchen sie immer dann auf, wenn der Java-Code auf einer Internetseite bestimmte Sicherheitskriterien nicht erfüllt. Wichtigstes Kriterium dabei ist ein gültiges Sicherheitszertifikat.

Beim Update Nummer 17 hatte Oracle im Browser-Menü für die Java-Konfiguration einen neuen Schieberegler für die Sicherheitsstufen eingeführt. Nutzer konnten damit die vier Einstellungen niedrig, mittel, hoch und sehr hoch einstellen und damit vorgeben, wie sensibel der Browser beim Umgang mit Java-Code sein soll. Mit dem aktuellen Update hat Oracle die Sicherheitsstufe "niedrig" abgeschafft. Für Nutzer bedeutet das, dass er bereits bei Java-Code mit einer mittleren Warnstufe einen Sicherheitshinweis angezeigt bekommt. Ab der Warnstufe hoch muss er der Ausführung dieses Java-S*****s manuell zustimmen.

Ab in den Sandkasten

In den Sicherheitsabfragen wird der Nutzer außerdem auch gefragt, ob er den Java-Code einer Internetseite mit vollen Zugriffsrechten auf sein Betriebssystem ausführen oder in der sogenannten "Sandbox" (Sandkasten) starten möchte. Eine Sandbox ist eine Art Quarantänestation auf dem Computer. In diesem abgeschotteten Bereich wird vereinfacht gesagt ein Betriebssystem simuliert. Sollte der Java-Code Schadfunktionen enthalten, greift er das simulierte Betriebssystem an und kann dem Computer und seiner tatsächlichen Softwareausstattung keinen Schaden zufügen.

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[Buzz Lightyear]

Was ist schon wirklich sicher?

Ist die eine Lücke geschlossen, dann sind wieder 3 neue da...

[megabeau]

ich hatte es jetzt monatelang deaktiviert und dann sogar deinstalliert und habe eigentlich nicht gemerkt, dass mir was abgegangen wäre. hat einer von euch auch diese erfahrung gemacht?
ich habe es zwar grad wieder in der neuesten form raufgespielt, aber mit einem eher unbehaglichen gefühl, weil ichs schon so im blut hab, dass in paar tagen jemand kommt, der die lücken in dieser version gefunden hat.
braucht man es denn wirklich wirklich?

[Teconas]

Ich habe seit über einem Jahr kein Java mehr installiert, und ich vermisse es nicht. Im Gegenteil. Ich kann nicht sicher ob es was damit zu tun hat, aber Computer läuft seitdem deutlich besser, mit weniger Problemen. Konnnt Java (auch als Programmiersprache) sowieso nie wirklich leiden :/