Okt:2012: Java Zero-Day-Lücke Win/Mac/Linux - neue Lücke

Status
Für weitere Antworten geschlossen.
ian_moone schrieb:
Naja so schlimm ist es ja auch wieder nicht, sollte es die nächsten Tage ruhig sein und keinen weiteren Lücken auftreten, kann der Thread hier ja auch in 2,3 Wochen "abgepinnt" werden und die weiteren Java-Updates im Software-Ankündigungsthread verschoben werden.
Zum Vergrößern anklicken....
Oha... ein Optimist :D!
 
Neue Sicherheitslücke in Reflection-API von Java entdeckt

Na also... das Warten hat sich doch gelohnt :D:

Neue Sicherheitslücke in Reflection-API von Java entdeckt

Die Meldungen über Sicherheitslücken in Java reißen nicht ab: Nachdem Oracle vor genau einer Woche im Rahmen des turnusmäßigen vierteljährlichen Patchday insgesamt 42 Sicherheitslücken in Java geschlossen hat, scheint der polnische Sicherheitsexperte Adam Gowdiak ein weiteres Sicherheitsproblem entdeckt zu haben.

Die Lücke soll sich dabei einmal mehr in der Reflection-Programmierschnittstelle (API) befinden, über die eine Java-Anwendung Klassen dynamisch nutzen kann. Aktuell kann ein Angreifer über diese jedoch die Sandbox umgehen und dann direkt auf das zu Grunde liegende System zugreifen. Wie, das erzählt Gowdiak natürlich noch nicht. Damit der Angriff erfolgreich ist, muss der Anwender aber zunächst die seit dem letzten Update verschärfte Sicherheitswarnung bestätigen, die den Nutzer darüber informiert, dass ein Java-Applet ausgeführt werden soll. Eine Infektion nur durch den Besuch einer Webseite ist damit zunächst nicht möglich.

Betroffen von der Sicherheitslücke ist nach Gowdiaks Angaben neben der aktuellen Java Standard Edition 7, einschließlich der vor Kurzem veröffentlichten Version Java 7 Update 21, interessanterweise auch das das Server-JRE. Die offensichtliche Frage, wie denn der Angriffs-Code in die VM des Servers geraten soll, beantwortet Gowdiak auf der unternehmenseigenen Internetseite seiner Firma Security Explorations lediglich mit einem sehr vagen Verweis auf Software und APIs, die das Einschleusen von Java-Code erlauben. Weiterhin verweist er auf die von Oracle online gestellten Richtlinien für sicheres Programmieren mit Java, und hier im Besonderen auf den Punkt 3-8.

Den Angaben des Sicherheitsexperten zufolge habe er Oracle bereits auf die Sicherheitslücke hingewiesen und zugleich mit einem entsprechenden Proof of Concept belegt. Wann Oracle die neue Sicherheitslücke schließen wird, ist zu diesem Zeitpunkt jedoch noch unbekannt.
Zum Vergrößern anklicken....

Quelle: ComputerBase.de - Neue Sicherheitslücke in Reflection-API von Java entdeckt
 
Ein Tag zur Freude :thumbup:. Am 18. Juni wird ein ausserplanmässiges Java-Update auf die Menschheit losgelassen :D. Na dann, hoffen wir, es enthält nicht den T-Virus :rolleyes:.
 
Java SE steht in der Version 7.0 Update 25 zum Bezug bereit.

Release Notes


P.S.: Neil Armstrong würde in etwa sagen: "That's one small step for Oracle… one… giant leap for malware." :D
 
Zuletzt bearbeitet:
Mit diesem Beitrag von Helios schließe ich mal den Thread, da das Kernproblem inzwischen nicht mehr (offiziell) besteht.

Helios hält uns in anderen Threads auch über Java auf dem Laufenden. - Ohne den Einsatz der anderen Informationsbeschaffer schmälern zu wollen, gebührt Dir ein Dank dafür, dass Du kontinuierlich uns auf dem Laufenden gehalten hast.

@ian_moone:
Danke dafür, dass Du in unserem Forum Durch Deinen Beitrag den Stein ins Rollen gebracht hattest und ebenfalls dafür sorgest, dass wir stets aktuell informiert wurden.

:thumbup:


Den "sticky" entferne ich erst in ein paar Tagen...
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben