Unglaublich was Oracle da abliefert. Das ganze Ding besteht ja nur mehr aus zusammengeflickten Sicherheitslöchern. Eine Lücke schliessen sie und 5 neue werden gefunden.
05.03.2013 10:04
« Vorige | Nächste »
[h=1]Java trotz Notfall-Patch verwundbar[/h]
Oracle hat erneut ein außerplanmäßiges Notfall-Update für Java herausgegeben, um eine kritische Schwachstelle zu schließen, die bereits von Cyber-Kriminellen ausgenutzt wird. Abgesichert wurden die Versionen 5 bis 7. Allzu arglos sollte man mit aktivem Java-Plug-in aber dennoch nicht surfen: Sicherheitsforscher Adam Gowdiak hat in den aktuellen Versionen bereits neue Lücken entdeckt.
Java-Sicherheitschef Eric P. Maurice räumt ein, dass Oracle bereits am ersten Februar über die Lücke mit der CVE-Nummer CVE-2013-1419 informiert wurde – also rund einen Monat, bevor die Sicherheitsfirma FireEye den ersten Angriff beobachtet hat. Zu diesem Zeitpunkt sei es aber schon zu spät gewesen, um die Schwachstelle am Februar-Patchday (bei Oracle heißt er Critical Patch Update) zu berücksichtigen. Das aktuelle Notfall-Update schließt darüber hinaus eine Schwachstelle mit der CVE-Nummer CVE-2013-0809. Beide Lücken befinden sich in den 2D-Zeichenfunktionen.
Betroffen sind die Java-Versionen 5 bis 7. Die aktuellen Versionsnummern lauten Java 7 Update 17 (1.7.0_17) und Java 6 Update 43 (1.6.0_43). Laut den FAQ handelt es sich dabei um das letzte Update für den 6er-Versionszweig. Nach Angaben von Oracle wurde außerdem der 5er-Zweig auf 1.5.0_41 aktualisiert.
Verwundbar sind wie bei vorhergehenden Sicherheitslücken nur per Browser oder Webstart ausführbare Java-Applets; Server- und Desktop-Anwendungen sollen dadurch nicht angreifbar sein. Oracle empfiehlt seinen Kunden, möglichst schnell auf die aktuelle Java-Version zu aktualisieren.
OS-X-Nutzer erhalten die Aktualisierung für Java 6 direkt von Apple. Der Hersteller brachte dazu in der Nacht zum Dienstag das Java for Mac OS X 10.6 Update 14 für Snow Leopard sowie Java for OS X 2013-002 für Lion und Mountain Lion heraus. Das Java-7-Update wird auch auf dem Mac von Oracle direkt verteilt.
Über das Java Control Panel macht man dem Java-Plug-in, auf das es die Cyber-Kriminellen häufig abgesehen haben, mit einem Mausklick den Garaus. Die gerade veröffentlichen Java-Versionen sind zwar sicherer geworden, aber keineswegs sicher: Der polnische Schwachstellen-Experte Adam Gowdiak erklärte heise Security, dass die von ihm und seinem Team entdeckten Issues 54 bis 60 auch Java 7 Update 17 betreffen. Laut Gowdiak gibt es mindestens zwei Wege, die Java-Sandbox mit speziell präparierten Web-Applets auszutricksen, um ungehindert auf das System zuzugreifen.
Der beste Schutz vor Angriffen durch Java-Lücken ist wie gehabt das Deaktivieren des Java-Plug-ins innerhalb des Browsers. Seit kurzem gibt es im Java Control Panel, das sich unter Windows in der Systemsteuerung befindet, hierfür unter dem Registerreiter "Sicherheit" die Option "Java-Content im Browser deaktivieren". Wer gelegentlich auf Webseiten angewiesen ist, die noch auf Java setzen, kann die Funktion Click-to-play von Firefox und Chrome benutzen. Ist sie aktiv, muss man dem Start von Plug-ins explizit per Mausklick zustimmen. ("[email protected]") / ("[email protected]")
Java trotz Notfall-Patch verwundbar | heise online
[TABLE="width: 100%"]
[tr]
[TD="width: 468px, align: left"]
05.03.2013, 09:01
[/TD]
[TD="align: right"]
[/TD]
[/TABLE]
[h=1]Unsicherheitsfaktor Java: Oracle schließt neue Lücken[/h] |
Java: Bleibt ein Unsicherheitsfaktor.
[Update:]
Auch das letzte Java-Update hielt sich nicht lange: In dem Oracle-Update stecken zwei Sicherheitslücken. Das von ihnen ausgehende Risiko stuft das Unternehmen als "kritisch" ein: Sicherheitsexperten von FireEye haben bereits Angriffe auf Nutzer mit Java entdeckt, die die Sicherheitslücke in den aktuellen Versionen von Java 6 (Update 41) und Java 7 (Update 15) ausnutzen. Oracle will die Sicherheitslücke mit Java 7 Update 17 beseitigt haben. Nutzern empfehlen wir dringend das Update auf die aktuelle Version.
[Originalmeldung:]
Ist das eine Leck gefixt, wird schon das nächste bekannt: Die Sicherheitsexperten der Firma Security Explorations haben erneut zwei kritische Java-Sicherheitslücken entdeckt.
Erst vor einer Woche hatte Oracle einen großen Java-Patch bereit gestellt. Die aktuelle Java Version 7 Update 15 umfasst alle Fixes aus dem Notfall-Update plus fünf zusätzliche Korrekturen. Oracle riet Java-Nutzern dazu, das Update so schnell wie möglich einzuspielen.
Einen Check der Security-Experten von Security Explorations hielt das Update dennoch nicht Stand: Sie wurden in dem frisch veröffentlichten Update gleich auf mehrere Sicherheitslücken aufmerksam, durch die sich Angreifern die Möglichkeit bietet, aus der verwendeten Java Sandbox auszubrechen. Laut ihrer Website wurde Oracle bereits über das Leck informiert. Das Unternehmen hat inzwischen Untersuchungen in die Wege geleitet.
Auf Nummer sicher: Java abschalten.
[h=2]Java besser abschalten[/h]
Absolut sicher surfen Sie derzeit nur, wenn Sie Java vollständig abschalten. Dies erledigen Sie über das Java Control Panel, das Sie wie folgt auf Ihrem Rechner finden: Unter Windows XP öffnen Sie die Systemsteuerung und suchen nach dem Eintrag "Java".
Unter Windows 7 und Vista öffnen Sie ebenfalls die Systemsteuerung und suchen über die Eingabezeile rechts oben nach "Java". Unter Windows 8 genügt das Eintippen von "Java" auf dem Startscreen und der Wechsel in die Kategorie "Einstellungen". Sobald das Java Control Panel geöffnet ist, klicken Sie auf den Reiter "Sicherheit" und entfernen den Haken bei "Java-Content im Browser aktivieren". (bkp)
Unsicherheitsfaktor Java: Oracle schließt neue Lücken - News - CHIP Online
Cu
Verbogener