29.01.2013 15:29
Neue Java-Schutzfunktion bereits ausgehebelt
Sicherheitsforscher Adam Gowdiak weist darauf hin, dass die von Oracle gerade erst eingeführte neue Sicherheitsmaßnahme für das Java-Browser-Plugin bereits umgangen werden kann. So hatte Oracle mit dem letzten Java-Update die Sicherheitseinstellungen für im Browser ausgeführte Applets von "Medium" auf "Hoch" gesetzt, wodurch das Ausführen unsignierter Applets nun an eine Bestätigung durch den Nutzer gekoppelt ist. Dies sollte verhindern, dass Applets einfach geladen werden.
Laut Godwiak sei die Veränderung der Sicherheitseinstellungen rund um die Applets schlicht nicht wirksam. Zum Beweis hat er bereits ein Proof-of-Concept-Applet erstellt, das jede Sicherheitseinstellung umgehen kann. Dieser Exploit könnte seiner Meinung nach letztlich nur dadurch verhindert werden, dass die "Click to Play"-Funktion für Plugins von Chrome und Firefox aktiviert wird. Gerade in Verbindung mit den Lücken, die Gowdiak in den letzten Monaten im Java-Plugin entdeckt hat, sei dieses erneute Versagen gefährlich.
Kriminellen spiele außerdem in die Karten, dass Oracles Update-Praxis für viele Nutzer ein Ärgernis ist. Zum Einen prüft Java sehr unregelmäßig ob es Updates gibt und Nutzer müssen selbst aktiv werden. Zum Anderen geht mit der Installation eines Updates zumeist die Installation von nicht gewollter Software von Drittanbietern einher, wie beispielsweise der "Ask Toolbar". Besonders undurchsichtig ist, dass die Toolbar mit einer leichten Verzögerung von knapp zehn Minuten zum Java-Update installiert wird. Manche Nutzer gehen gerade aus diesem Grund Updates aus dem Weg selbst wenn diese kritische Sicherheitslücken schließen.
Es empfiehlt sich nach wie vor Java im Browser zu deaktivieren. Die Versionen seit 7u10 haben dafür einen Schalter in der Systemsteuerung von Windows. Firefox, Chrome und Safari bieten Anleitungen, wie Java deaktiviert werden kann.
- Deaktivierung des Java-Plugins in Firefox
- Deaktivierung des Java-Plugins in Chrome
- Deaktivierung des Java-Plugins in Safari
Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Der neue Standard "Content Security Policy" soll endlich Abhilfe schaffen. 
Wie schwer ist es, einen Hotelsafe zu knacken? heise Security hat es spontan ausprobiert – mit einem überraschenden Ergebnis. 
Was ist echt und was ist falsch? Echte Benachrichtigungen von Firmen sind kaum noch von Phishingmails zu unterscheiden. Trotzdem wird von uns erwartet, dass wir den Durchblick behalten. So funktioniert das nicht. 
Die Weboberfläche zur Verwaltung von ProLiant- und Integrity-Servern enthält eine kritische Sicherheitslücke. 
Eine Lücke, viele Updates: Adobe hat ein kritisches Sicherheitsloch gestopft und neue Flash- und Air-Versionen für sämtliche Plattformen veröffentlicht. 
Am Juni-Patchday hat Microsoft zahlreihe Lücken in Windows, Internet Explorer und Office geschlossen. Eine Rechteausweitungslücke, für die bereits ein Exploit im Netz kursiert, hat die Redmonder Softwareschmiede dabei jedoch offenbar ausgelassen. 
