29.01.2013 15:29
Neue Java-Schutzfunktion bereits ausgehebelt
Sicherheitsforscher Adam Gowdiak weist darauf hin, dass die von Oracle gerade erst eingeführte neue Sicherheitsmaßnahme für das Java-Browser-Plugin bereits umgangen werden kann. So hatte Oracle mit dem letzten Java-Update die Sicherheitseinstellungen für im Browser ausgeführte Applets von "Medium" auf "Hoch" gesetzt, wodurch das Ausführen unsignierter Applets nun an eine Bestätigung durch den Nutzer gekoppelt ist. Dies sollte verhindern, dass Applets einfach geladen werden.
Laut Godwiak sei die Veränderung der Sicherheitseinstellungen rund um die Applets schlicht nicht wirksam. Zum Beweis hat er bereits ein Proof-of-Concept-Applet erstellt, das jede Sicherheitseinstellung umgehen kann. Dieser Exploit könnte seiner Meinung nach letztlich nur dadurch verhindert werden, dass die "Click to Play"-Funktion für Plugins von Chrome und Firefox aktiviert wird. Gerade in Verbindung mit den Lücken, die Gowdiak in den letzten Monaten im Java-Plugin entdeckt hat, sei dieses erneute Versagen gefährlich.
Kriminellen spiele außerdem in die Karten, dass Oracles Update-Praxis für viele Nutzer ein Ärgernis ist. Zum Einen prüft Java sehr unregelmäßig ob es Updates gibt und Nutzer müssen selbst aktiv werden. Zum Anderen geht mit der Installation eines Updates zumeist die Installation von nicht gewollter Software von Drittanbietern einher, wie beispielsweise der "Ask Toolbar". Besonders undurchsichtig ist, dass die Toolbar mit einer leichten Verzögerung von knapp zehn Minuten zum Java-Update installiert wird. Manche Nutzer gehen gerade aus diesem Grund Updates aus dem Weg selbst wenn diese kritische Sicherheitslücken schließen.
Es empfiehlt sich nach wie vor Java im Browser zu deaktivieren. Die Versionen seit 7u10 haben dafür einen Schalter in der Systemsteuerung von Windows. Firefox, Chrome und Safari bieten Anleitungen, wie Java deaktiviert werden kann.
- Deaktivierung des Java-Plugins in Firefox
- Deaktivierung des Java-Plugins in Chrome
- Deaktivierung des Java-Plugins in Safari
Ein Einstieg in die Analyse des Blackberry Z10 und des neuen Blackberry OS. 
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
