Java Update schließt Lücken und erhöht Abfragen

Christoph · 16.04.2013, 20:39

Zitat:

Das heute veröffentlichte Java 7 Update 21 schließt 42 kritische Sicherheitslücken und erhöht die Abfragen, wenn Java-Code auf angesteuerten Webseiten ausgeführt werden soll.

Mit Java 7 Update 21 hat Oracle nach eigenen Angaben 42 kritische Sicherheitslücken Java geschlossen. Das Update wird am heutigen 16. April 2013 im Rahmen der vierteljährlichen Patch-Reihe veröffentlicht. Oracle hat zusätzlich weitere Sicherheitsabfragen in Java integriert, die den Anwender warnen sollen, wenn er Webseiten ansteuert, die Java-Code ausführen wollen. In einigen Fällen muss der Anwender das Ausführen des Codes bestätigen.

Die Dialogboxen tauchen dann auf, wenn ein Nutzer beispielsweise eine veraltete Version von Java nutzt, oder der auszuführende Code kein gültiges Zertifikat aufzuweisen hat. Sollte das Java-Plugin im Browser ein niedriges Risiko im Code auf der Webseite feststellen, dann erhält der Nutzer eine Warnung. Bei einem hohen Risiko muss der Nutzer der Code-Ausführung zustimmen. Insgesamt werden vier Warnstufen angezeigt. Drei davon weisen auch darauf hin, ob der Java-Code mit vollen Zugriffsrechten auf das Betriebssystem oder in einer Sandbox ausgeführt werden soll. Bei der höchsten Warnstufe muss der Anwender zunächst in einer Checkbox zustimmen, bevor er mit einem weiteren Klick das Ausführen des Codes bestätigt.
39 kritische Sicherheitslücken

Von den in Java 7 Update 21 geschlossenen 42 Sicherheitslücken stuft Oracle 39 als besonders kritisch ein. Sie sollen nicht nur im Browser gefährlich sein, sondern auch Angriffsmöglichkeiten bieten, einen Rechner aus der Ferne ohne Authentifizierung zu übernehmen.

Oracle gerät zunehmend unter Druck, die Fülle an Sicherheitslücken in Java zu schließen. Jüngst wurde bekannt, dass Angreifer sich über Java Zugriff auf Rechner von Angestellten bei Facebook verschafft haben. Inzwischen hat Oracle mehrere Notfall-Patches außer der Reihe veröffentlicht, nachdem Exploits für nicht-gepatchte Sicherheitslücken aufgetaucht sind.

In einer Telefonkonferenz zu den Sicherheitsproblemen von Java, hatte Oracle Ende Januar 2013 Besserung und mehr Transparenz in Bezug auf kritische Fragen versprochen.

Oracle rät allen Java-Nutzern, das Update möglichst umgehend einzuspielen.

Quelle: http://www.golem.de/news/java-update...304-98756.html

Christoph · 17.04.2013, 20:24

Zitat:

Oracle hat mit dem Java 7 Update 21 ein als bedeutend anzusehendes Patch-Release veröffentlicht. Es umfasst 42 Patches gegen Sicherheitsfehler, von denen 39 laut Oracle Angriffsoptionen bieten, Rechner ohne Authentifizierung an sich zu reißen. Aufgrund der zahlreichen Attacken gegen die Java-Plattform in der jüngsten Vergangenheit empfiehlt der Java-Statthalter, das neue Update so schnell wie möglich einzuspielen. Die durch das neue Release behobenen Sicherheitslücken erreichen den Höchstwert 10 des Common Vulnerability Scoring System (CVSS).

Oracle hatte mit dem Java 7 Update 17 beim Java Control Panel einen einfach zu bedienenden Schieberegler zur Einstellung des Sicherheitslevels nicht signierter Applets eingeführt, bei dem Anwender zwischen den Einstellungen niedrig, mittel, hoch und sehr hoch auswählen konnten. Nun korrigiert das Unternehmen mit dem neuen Update das Vorgehen. Es hatte Anfang des Jahres schon angekündigt, dass sich das Verhalten des Browser-Plug-ins beim Umgang mit unsigniertem Code ändern werde. Der Level "niedrig" steht jetzt nicht mehr zur Verfügung. Für Java im Browser bedeutet das, dass das Ausführen unsignierter Applets nicht mehr ohne Warnung für den Endanwender möglich ist.

Der Anwender bekommt davon dann etwas mit, wenn er die bereitgestellte Webseite über seinen Browser startet, dass dieser ihn grundsätzlich auf den aktiven Inhalt hinweist. Erst nach der Bestätigung, dass er Java wirklich ausführen will, startet das Browser-Plug-in die Java Virtual Maschine und führt die Anwendung aus.

[Update: 17.4.2013, 9:30:
Dabei teilt Oracle das Risiko beim Ausführen eines Applets in zwei Stufen ein, die den Usern mit Symbolen in Infokästen angezeigt werden sollen. Erscheint das Java-Logo im Infokasten, handelt es sich um die niedrigste Risikostufe. Die entsprechende Anwendung kann ein gültiges Zertifikat vorweisen, der Herausgeber ist somit bekannt. Wird hingegen ein gelbes Warnschild angezeigt, warnt Java vor einer nicht signierten oder mit einem ungültigen Zertifikat signierten Anwendung.

Allerdings hatte Java bislang keine sonderliche Sorgfalt beim Überprüfen von Zertifikaten an den Tag gelegt. So zeigte es bei einem Trojaner, der mit einem gestohlenen, längst widerrufenen Zertifikat unterschrieben war, keine Warnung an. Die Gauner haben das gestohlene Zertifikat fleißig genutzt; der Trojaner wurde in den letzten Monaten in verschiedenen Variationen auf diversen gehackten Web-Seiten eingeschleust. Auch nach der Installation der soeben veröffentlichten Version ist die Überprüfung von Widerrufen durch die Zertifikatsherausgeber standardmäßig abgeschaltet. Java bietet in dieser Einstellung also nach wie vor keinen Schutz vor Trojanern mit gestohlenen Zertifikaten.
Allerdings hatte Java bislang keine sonderliche Sorgfalt beim Überprüfen von Zertifikaten an den Tag gelegt. So zeigte es bei einem Trojaner, der mit einem gestohlenen, längst widerrufenen Zertifikat unterschrieben war, keine Warnung an. Die Gauner haben das gestohlene Zertifikat fleißig genutzt; der Trojaner wurde in den letzten Monaten in verschiedenen Variationen auf diversen gehackten Web-Seiten eingeschleust. Auch nach der Installation der soeben veröffentlichten Version ist die Überprüfung von Widerrufen durch die Zertifikatsherausgeber standardmäßig abgeschaltet. Java bietet in dieser Einstellung also nach wie vor keinen Schutz vor Trojanern mit gestohlenen Zertifikaten.

Da der Java-Updater die neue Version erst mit einem Verzug von bis zu einer Woche – bei älteren Versionen sogar bis zu einem Monat – zur Installation anbietet, sollte man diese lieber gleich im Java Control Panel von Hand anstoßen. Allerdings müssen Nutzer dabei auch wieder aufpassen: Die Ask-Toolbar lauert wieder im Update-Prozess. Nutzer hatten sich schon mehrfach über die Update-Praxis von Oracle beschwert.]

Für den Entwickler bedeuten die Änderungen, dass die Mehrzahl der Endanwender die Sicherheitsstufe nicht mehr auf "niedrig" oder individuell einstellen kann. Daraus resultiert, dass es nicht mehr so einfach ungewollt zum Ausführen nicht signierter Java-Anwendungen im Browser kommen kann. Allerdings ist es nun dringend zu empfehlen, Java-Anwendungen, die im Browser laufen sollen, mit einem gültigen Zertifikat zu signieren, wenn man ohne die neuen Warnungen auskommen will oder muss. Das Prozedere hierfür zeigt ein Hintergrundartikel auf heise Developer:

Nur noch unterschrieben: Java fördert nun signierte Applets

Quelle: http://www.heise.de/newsticker/meldu...s-1843271.html

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)