myGully.com - [Software] Java: Oracle schließt 42 gefährliche Sicherheitslücken

Zitat:

Java: Oracle schließt 42 gefährliche Sicherheitslücken
17.04.2013, 09:39 Uhr | Andreas Lerg

Oracle hat planmäßig ein bedeutendes Java-Update veröffentlicht. Java 7 Update 21 schließt insgesamt 42 Sicherheitslücken, von denen 39 als besonders kritisch eingestuft werden. Sie sind über das Internet ausnutzbar und erlauben es, einen Computer aus der Ferne ohne Anmeldung zu übernehmen. Oracle empfiehlt allen Nutzern, das Java Runtime 7 Update 21 möglichst umgehend zu installieren.

Von den 42 mit dem Update geschlossenen Sicherheitslücken stuft Oracle 39 als besonders kritisch ein. Sie ermöglichen Angreifern die Fernsteuerung eines Computers ohne vorherige Authentifizierung. Das aktuelle Update erfolgt im Rahmen der regelmäßigen Quartals-Updates, doch Oracle war in der Vergangenheit durch die massive Zunahme von Angriffen auf Java-Sicherheitslücken auch zu einigen außerplanmäßigen Updates gezwungen.

Häufigere Sicherheitsabfrage

Mit dem Update steigt auch die Zahl der Sicherheitsabfragen. Für Nutzer bedeutet das, dass der Browser beim Besuch von Internetseiten häufiger darüber Informiert, wenn Java-Code auf der Seite vorhanden ist. Der Nutzer muss nun häufiger per Mausklick bestätigen, dass dieser Code ausgeführt werden soll. Die Warnhinweise tauchen zum einen auf, wenn der Nutzer eine veraltete Version von Java auf seinem Computer installiert hat. Zum anderen tauchen sie immer dann auf, wenn der Java-Code auf einer Internetseite bestimmte Sicherheitskriterien nicht erfüllt. Wichtigstes Kriterium dabei ist ein gültiges Sicherheitszertifikat.

Beim Update Nummer 17 hatte Oracle im Browser-Menü für die Java-Konfiguration einen neuen Schieberegler für die Sicherheitsstufen eingeführt. Nutzer konnten damit die vier Einstellungen niedrig, mittel, hoch und sehr hoch einstellen und damit vorgeben, wie sensibel der Browser beim Umgang mit Java-Code sein soll. Mit dem aktuellen Update hat Oracle die Sicherheitsstufe "niedrig" abgeschafft. Für Nutzer bedeutet das, dass er bereits bei Java-Code mit einer mittleren Warnstufe einen Sicherheitshinweis angezeigt bekommt. Ab der Warnstufe hoch muss er der Ausführung dieses Java-S*****s manuell zustimmen.

Ab in den Sandkasten

In den Sicherheitsabfragen wird der Nutzer außerdem auch gefragt, ob er den Java-Code einer Internetseite mit vollen Zugriffsrechten auf sein Betriebssystem ausführen oder in der sogenannten "Sandbox" (Sandkasten) starten möchte. Eine Sandbox ist eine Art Quarantänestation auf dem Computer. In diesem abgeschotteten Bereich wird vereinfacht gesagt ein Betriebssystem simuliert. Sollte der Java-Code Schadfunktionen enthalten, greift er das simulierte Betriebssystem an und kann dem Computer und seiner tatsächlichen Softwareausstattung keinen Schaden zufügen.

Quelle: [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]