Oracle hat mit dem Java 7 Update 21 ein als bedeutend anzusehendes Patch-Release veröffentlicht. Es umfasst 42 Patches gegen Sicherheitsfehler, von denen 39 laut Oracle Angriffsoptionen bieten, Rechner ohne Authentifizierung an sich zu reißen. Aufgrund der zahlreichen Attacken gegen die Java-Plattform in der jüngsten Vergangenheit empfiehlt der Java-Statthalter, das neue Update so schnell wie möglich einzuspielen. Die durch das neue Release behobenen Sicherheitslücken erreichen den Höchstwert 10 des Common Vulnerability Scoring System (CVSS).
Oracle hatte mit dem Java 7 Update 17 beim Java Control Panel einen einfach zu bedienenden Schieberegler zur Einstellung des Sicherheitslevels nicht signierter Applets eingeführt, bei dem Anwender zwischen den Einstellungen niedrig, mittel, hoch und sehr hoch auswählen konnten. Nun korrigiert das Unternehmen mit dem neuen Update das Vorgehen. Es hatte Anfang des Jahres schon angekündigt, dass sich das Verhalten des Browser-Plug-ins beim Umgang mit unsigniertem Code ändern werde. Der Level "niedrig" steht jetzt nicht mehr zur Verfügung. Für Java im Browser bedeutet das, dass das Ausführen unsignierter Applets nicht mehr ohne Warnung für den Endanwender möglich ist.
Der Anwender bekommt davon dann etwas mit, wenn er die bereitgestellte Webseite über seinen Browser startet, dass dieser ihn grundsätzlich auf den aktiven Inhalt hinweist. Erst nach der Bestätigung, dass er Java wirklich ausführen will, startet das Browser-Plug-in die Java Virtual Maschine und führt die Anwendung aus.
Für den Entwickler bedeuten die Änderungen, dass die Mehrzahl der Endanwender die Sicherheitsstufe nicht mehr auf "niedrig" oder individuell einstellen kann. Daraus resultiert, dass es nicht mehr so einfach ungewollt zum Ausführen nicht signierter Java-Anwendungen im Browser kommen kann. Allerdings ist es nun dringend zu empfehlen, Java-Anwendungen, die im Browser laufen sollen, mit einem gültigen Zertifikat zu signieren, wenn man ohne die neuen Warnungen auskommen will oder muss.
heise-security.de
Oracle hatte mit dem Java 7 Update 17 beim Java Control Panel einen einfach zu bedienenden Schieberegler zur Einstellung des Sicherheitslevels nicht signierter Applets eingeführt, bei dem Anwender zwischen den Einstellungen niedrig, mittel, hoch und sehr hoch auswählen konnten. Nun korrigiert das Unternehmen mit dem neuen Update das Vorgehen. Es hatte Anfang des Jahres schon angekündigt, dass sich das Verhalten des Browser-Plug-ins beim Umgang mit unsigniertem Code ändern werde. Der Level "niedrig" steht jetzt nicht mehr zur Verfügung. Für Java im Browser bedeutet das, dass das Ausführen unsignierter Applets nicht mehr ohne Warnung für den Endanwender möglich ist.
Der Anwender bekommt davon dann etwas mit, wenn er die bereitgestellte Webseite über seinen Browser startet, dass dieser ihn grundsätzlich auf den aktiven Inhalt hinweist. Erst nach der Bestätigung, dass er Java wirklich ausführen will, startet das Browser-Plug-in die Java Virtual Maschine und führt die Anwendung aus.
Für den Entwickler bedeuten die Änderungen, dass die Mehrzahl der Endanwender die Sicherheitsstufe nicht mehr auf "niedrig" oder individuell einstellen kann. Daraus resultiert, dass es nicht mehr so einfach ungewollt zum Ausführen nicht signierter Java-Anwendungen im Browser kommen kann. Allerdings ist es nun dringend zu empfehlen, Java-Anwendungen, die im Browser laufen sollen, mit einem gültigen Zertifikat zu signieren, wenn man ohne die neuen Warnungen auskommen will oder muss.
heise-security.de