Neue Java-Sicherheitslücke betrifft Desktop-Systeme und Server

Dieses Thema im Forum "PC&Internet News" wurde erstellt von DocKugelfisch, 24. April 2013.

  1. DocKugelfisch
    Offline

    DocKugelfisch Moderator Digital Eliteboard Team

    Registriert:
    9. Mai 2008
    Beiträge:
    3.216
    Zustimmungen:
    2.741
    Punkte für Erfolge:
    113
    Ort:
    Астана
    Oracles steter Mahner in Sachen Security, der polnische Sicherheitsforscher Adam Gowdiak, hat nach eigenen Aussagen dem Java-Hersteller eine neue Schwachstellegemeldet – Nummer 61 nach seiner Zählung. Betroffen ist die aktuelle Java Standard Edition 7, einschließlich der soeben erst veröffentlichten Version.
    Die Lücke findet sich einmal mehr im Reflection API; über sie kann ein Angreifer die Sandbox umgehen und dann direkt auf das zu Grunde liegende System zugreifen. Wie, das erzählt Gowdiak natürlich noch nicht. Damit der Angriff erfolgreich ist, muss der Anwender aber zunächst die jetzt obligatorische Sicherheitswarnung wegklicken, dass ein Java-Applet ausgeführt wird. Ganz automatische Drive-By-Infektionen nur durch den Besuch einer Webseite sind damit zunächst nicht möglich. Insgesamt stehen damit noch drei Gowdiak-Probleme auf Oracles Todo-Liste für Java (Nummer 54, 56 und 61).
    Interessant ist, dass laut Gowdiak auch das Server JRE anfällig sein soll. Die offensichtliche Frage, wie denn der Angriffs-Code in die VM des Servers geraten soll, beantwortet Gowdiak lediglich mit einem sehr vagen Verweis auf Software und APIs, die das Einschleusen von Java Code erlauben.

    heise-security.de
     
    #1
    Borko23 gefällt das.

Diese Seite empfehlen

OK Mehr information

Diese Seite verwendet Cookies. Mit Ihrem Klick auf OK stimmen Sie der Verwendung von Cookies zu. Andernfalls ist die Funktionalität dieser Website beschränkt.