Bedanken Bedanken:  0
Ergebnis 1 bis 2 von 2
  1. #1
    Awards:
    Posting Award
    Avatar von delle59




    Registriert seit
    Apr 2012
    Ort
    NRW
    Beiträge
    6.108
    Points
    6.782
    Level
    54
    Level completed: 16%, Points required for next Level: 168
    Overall activity: 51,0%
    Achievements:
    SocialRecommendation Second Class7 days registered5000 Experience PointsOverdrive

    Neuer Java-Exploit offenbar im Umlauf

    Java 7 Update 11
    Neuer Java-Exploit offenbar im Umlauf
    Gerade aktualisiert und offenbar schon wieder anfällig: Java soll auch in der aktualisierten Version 7 Update 11 mit einem neuen Exploit angreifbar sein. Er soll unter Kriminellen für 5.000 US-Dollar gehandelt werden und drei Käufer gefunden haben, wie Sicherheitsexperte Brian Krebs berichtet.


    Kriminelle handeln mit neuem Exploit. (Bild: Oracle)
    Das erst am Wochenende von Oracle veröffentlichte Java 7 Update 11 ist offenbar schon wieder unsicher. Im Internet ist ein neuer Exploit angeboten worden, den Interessenten für 5.000 US-Dollar erwerben konnten. Der Händler möchte allerdings anscheinend verhindern, dass die Sicherheitslücke allzu schnell geschlossen wird, und bietet den Exploit nicht mehr an. Das lässt darauf schließen, dass er einen dritten Käufer gefunden hat, da er ursprünglich den Exploit nur an insgesamt drei Interessenten verkaufen wollte.

    Wie weit sich der Exploit verbreiten wird, lässt sich derzeit nicht abschätzen. Falls die Besitzer des Exploits nur gezielte Angriffe ausführen, wird es für Oracle und Antivirenfirmen schwierig herauszufinden, was Java anfällig macht. Bei einem Überraschungsangriff auf weite Teile der Internetbevölkerung und einem Weiterverkauf des Exploits wäre die Sicherheitslücke schnell schließbar - allerdings erst, nachdem der Schaden angerichtet wurde.

    Die letzte Sicherheitslücke konnte Oracle vergleichsweise schnell schließen, nachdem diverse staatliche Institutionen, darunter auch das Bundesamt für Sicherheit in der Informationstechnik, zur Deinstallation von Java aufgerufen hatten.

    Ganz ohne Java geht es in der Onlinewelt nicht überall. Während sich die Deutsche Post von Java wieder verabschiedet hat - die Firma hatte ursprünglich wegen Kundenbeschwerden von PDF-Frankierung auf Java umgestellt, wie uns mitgeteilt wurde -, setzt der Ticketdienstleister Eventim beispielsweise bei Platzreservierungen auf Java. Auch der Zoll und das Bayerische Landesamt für Steuern nutzen Java. Beim Zoll ist es Atlas Ausfuhr, bei den Steuern Elsteronline. Für Letzteres gibt es immerhin eine Alternative: Elsterformular für Windows.

    Wer Java nicht unbedingt für das Internet braucht, sollte erwägen, es entweder zu deinstallieren oder zumindest im Browser abzuschalten. Java 6 ist übrigens keine Alternative. Diese Familie der Laufzeitumgebung ist ab Februar 2013 im Status End of Life. Nur die kommerzielle Unterstützung wird länger aufrechterhalten.
    Quelle
    Ich bin fest davon überzeugt, daß es für den Tonfilm einen Markt gibt.
    Thomas Alva Edison (1847 - 1931)
    [Regeln] News-Bereich


  2. #2
    Awards:
    Posting Award
    Avatar von delle59




    Registriert seit
    Apr 2012
    Ort
    NRW
    Beiträge
    6.108
    Points
    6.782
    Level
    54
    Level completed: 16%, Points required for next Level: 168
    Overall activity: 51,0%
    Achievements:
    SocialRecommendation Second Class7 days registered5000 Experience PointsOverdrive
    Risiko-Software: Neues Java lässt Lücken offen
    Ein Leck geschlossen, zwei neue offen: Oracle kommt mit seinen Aktualisierungen nicht hinterher. Außerdem kritisieren Experten, dass der Software-Anbieter mit Java standardmäßig auch Werbeprogramme installiert.

    Die Kette negativer Meldungen über Oracles Java-Software reißt nicht ab. Der polnische IT-Sicherheitsexperte Adam Gowdiak von Security Explorations berichtet von gleich zwei neuen Lücken, die mit den jüngst aufgetretenen Problemen nichts zu tun hätten. So könne die eigentlich zur Abwehr von Angriffen konzipierte Sandbox-Technik umgangen werden. Das aber erlaube Angreifern, die Programmausführung direkt anzuzapfen.

    Die entdeckten Lecks tragen auf Gowdiaks Liste der Sicherheitslücken bei Java 7 die Nummern 51 und 52 und wurden wie ihre 50 Vorgänger an Oracle gemeldet.

    Zur Frage, wie schwerwiegend die neu entdeckten Lücken sind, wählte Sophos' Sicherheitsblog "Naked Security" einen bildhaften Vergleich. Mit dem letzte Woche ausgeliefert "7u11"-Patch habe Oracle zwar die Bürotür geschlossen, aber den Haupteingang zum Gebäude offengelassen, was für unlautere Aktivitäten geradezu eine Einladung darstelle.

    Doch Oracle steht nicht nur wegen der Sicherheitsupdates in der Kritik. Das Unternehmen betätigt sich überdies als Lieferant ungebetener Zusatzprogramme, die dem Nutzer mit der eigentlichen Java-Aktualisierung huckepack untergeschoben werden, so "Zdnet". Bei der Java-Installation erscheint ein Fenster, in dem die Option zur Installation einer "Ask.com"-Toolbar standardmäßig aktiviert ist - das war auch bei unserer Testinstallation von Java der Fall.

    Wer unaufmerksam ist und auf "weiter" klickt, bekommt nicht nur einfach ein paar zusätzliche Knöpfe im Browser angezeigt. Als Standard-Suchmaschine ist plötzlich Ask.com eingerichtet, davon ist auch die Schnellsuche über die Adressleiste betroffen. Doch zu keinem Zeitpunkt wurde der Nutzer um seine Einwilligung zu diesen Änderungen gebeten. Noch schlimmer: Nach dem Deinstallieren der Toolbar müssen die Einstellungen für die Standardsuchmaschine sämtlich von Hand wieder zurückgesetzt werden.

    Zwar sind die meisten Browser inzwischen mit Hürden ausgestattet, die eine automatische Installation verhindern sollen. Die versucht der Toolbar-Installer jedoch mit bunten Fensterchen zu umgehen.

    "Zdnet" bilanziert: Wenn irgend möglich, sollten Windows-User Java nicht installieren oder von ihren Rechnern, zumindest aber aus ihren Browsern entfernen.

    Wie Sie Java löschen oder deaktivieren, steht hier.
    Quelle
    Ich bin fest davon überzeugt, daß es für den Tonfilm einen Markt gibt.
    Thomas Alva Edison (1847 - 1931)
    [Regeln] News-Bereich


Ähnliche Themen

  1. Schwere Sicherheitslücke in Java 7
    Von Legendaddy im Forum Netzwelt
    Antworten: 1
    Letzter Beitrag: 02.02.13, 23:31
  2. Antworten: 0
    Letzter Beitrag: 31.01.13, 17:13
  3. Nintendo 3DS offenbar gehackt
    Von delle59 im Forum Konsolen
    Antworten: 0
    Letzter Beitrag: 03.01.13, 11:39
  4. Antworten: 4
    Letzter Beitrag: 27.09.12, 21:49
  5. neuer pc
    Von erdnuckel im Forum Kaufberatung
    Antworten: 0
    Letzter Beitrag: 12.05.12, 13:46

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •