Computersicherheit: Experten finden Hinweise auf neue Java-Lücke

Ist das eine Leck gestopft, platzt schon das nächste auf. Kaum hat Oracle seine Java-Software mit einem Patch abgedichtet, tauchen im Netz Hinweise auf eine neue Schwachstelle auf. Sicherheitsexperten kritisieren, Oracles Update sei nicht vollständig.

Oracle-Logo: Die Java-Technik erweist sich immer wieder als anfällig Zur Großansicht
REUTERS

Oracle-Logo: Die Java-Technik erweist sich immer wieder als anfällig

Eben erst hat der Software-Hersteller Oracle hat eine schwere Sicherheitslücke in seiner Java-Software geschlossen, da macht bereits die Meldung vom nächsten Leck die Runde. Wie der IT-Journalist Brian Krebs auf seinem Blog "Krebs on Security" berichtet, soll in einem Untergrundforum ein unbekannter Gauner eine neue Sicherheitslücke zu Preisen ab 5000 Dollar angeboten haben. Es handele sich dabei um eine Schwachstelle in Java 7, die mit dem jüngsten Oracle-Patch nicht behoben worden sei.

Krebs bezeichnet das Angebot als eine "waffenfähige Version". Der Anbieter liefere damit ein Programm zum Ausnutzen der Lücke und die Grundlagen, um die Lücke für andere Angriffsarten zu verwenden, führt "Ars Technica" aus.

Es ist daher weiter äußerste Vorsicht im Umgang mit der Java-Technik geboten. Die Meldung von Brian Krebs kommt zeitgleich mit einer Warnung der Antiviren-Spezialisten von Trend Micro, das jüngste Java-Update sichere die Software keineswegs gegen alle Arten von Angriffen ab. Der ausgelieferte Fix sei unvollständig, denn er behebe nur eine der zwei gefährlichen Sicherheitslücken im Java-Code. Schon am Montag berichtete das IT-Sicherheitsunternehmen Immunity Products, dass nur eines der zwei Java-Lecks geschlossen worden sei.

Cert, eine US-Organisation für Computersicherheit an der der Carnegie Mellon University, schloss sich diesen Einschätzungen über Oracles sogenannten 7u11-Patch an. Die Experten raten dazu, Java zu deaktivieren, wenn es in Web-Browsern nicht absolut erforderlich sei. Das gelte selbst nach dem 7u11-Update. Hier unsere Tipps zum Deaktivieren und Löschen von Java.

Auf Anfrage von "Ars Technica" zu den Berichten über die nicht behobene Java-Schwachstelle verwies Oracle zunächst auf seine ursprüngliche Sicherheitswarnung. Zum Einwand, diese Meldung stehe mit dem Berichten über neuere Probleme in keiner Verbindung, erklärte das Software-Unternehmen, es gebe keinen weiteren Kommentar ab.

Für Computernutzer gilt daher weiterhin der Rat, Java möglichst komplett vom Rechner zu deinstallieren oder zumindest im Browser (nicht zu verwechseln mit JavaScript) zu deaktivieren.

meu

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 13 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Produkthaftung
GerhardFeder 17.01.2013
Es wird Zeit, dass endlich die Software-Hersteller in Produkthaftung genommen werden. Da sie von einem "Ewigkeitswert" ihrer Urheberschaft ausgehen, könnte und müsste das teuer werden. Das Ergebnis wäre, dass es endlich gute Software geben könnte und nicht den heute vorherrschenden Murks, der durch ständige "updates" hohe Kosten verursacht.
2. die ESF
snigger 17.01.2013
Zitat von GerhardFederEs wird Zeit, dass endlich die Software-Hersteller in Produkthaftung genommen werden. Da sie von einem "Ewigkeitswert" ihrer Urheberschaft ausgehen, könnte und müsste das teuer werden. Das Ergebnis wäre, dass es endlich gute Software geben könnte und nicht den heute vorherrschenden Murks, der durch ständige "updates" hohe Kosten verursacht.
hat ein gutes argument DAGEGEN: Java ist OPEN SOURCE. die kostet "nix", darf weitergegeben und verändert werden. wäre in der realen welt mit "Deutsch" vergleichbar... ... aber hauptsache, mal gemotzt zu haben....
3.
Dark Enginseer 17.01.2013
Zitat von GerhardFederEs wird Zeit, dass endlich die Software-Hersteller in Produkthaftung genommen werden. Da sie von einem "Ewigkeitswert" ihrer Urheberschaft ausgehen, könnte und müsste das teuer werden. Das Ergebnis wäre, dass es endlich gute Software geben könnte und nicht den heute vorherrschenden Murks, der durch ständige "updates" hohe Kosten verursacht.
Software reift erst im Einsatz richtig, denn wenn man ALLES (bzw. alles was einem überhaupt einfällt) vorher testen würde, dann würde das Produkt nicht fertig und wäre am Ende so teuer, daß es keiner kauft. Manche Bugs werden auch gar nicht gefixed, weil sie so selten auftreten und/ oder so wenig schaden/ stören, daß es sich schlichtweg nicht lohnt.
4. Der Witz ist, das viele Web-Pages
hdudeck 17.01.2013
Zitat von sysopIst das eine Leck gestopft, platzt schon das nächste auf. Kaum hat Oracle seine Java-Software mit einem Patch abgedichtet, tauchen im Netz Hinweise auf eine neue Schwachstelle auf. Sicherheitsexperten kritisieren, Oracles Update sei nicht vollständig. Sicherheitslücke in Java: Neuer Angriffscode im Umlauf - SPIEGEL ONLINE (http://www.spiegel.de/netzwelt/web/sicherheitsluecke-in-java-neuer-angriffscode-im-umlauf-a-878101.html)
wie z.B. hier das Forum ohne Java nicht 100% funktionieren. Viele Pages, die ich seit dem Abschalten besucht habe, weisen darauf hin, das sie Java benoetigen. Andere funktionieren gar nicht. Wenn Oracle sich nicht bald bewegt, kommen die in Teufels Kueche, da viele dieser Seiten Sales Pages sind und entsprechend das Volumen einbrechen wird.
5.
Konstruktor 17.01.2013
Zitat von hdudeckwie z.B. hier das Forum ohne Java nicht 100% funktionieren. Viele Pages, die ich seit dem Abschalten besucht habe, weisen darauf hin, das sie Java benoetigen. Andere funktionieren gar nicht. Wenn Oracle sich nicht bald bewegt, kommen die in Teufels Kueche, da viele dieser Seiten Sales Pages sind und entsprechend das Volumen einbrechen wird.
Java*Script* wird auf vielen Seiten benötigt, aber *Java* nur noch auf ganz, ganz wenigen. Java*Script* hat mit *Java* rein gar nichts zu tun – außer einem idiotisch mißverständlichen Namen. Man kann also das *Java*-Plugin im Browser ausschalten und die meisten Leute werden nie auf eine Site stoßen, bei der das wirklich einen Unterschied macht. Den separaten Schalter für Java*Script* wird man für viele Sites anlassen müssen, aber da gibt es aktuell auch keine akuten Sicherheitsprobleme. Java im Browser it so gut wie vorbei; Java*Script* wird immer wichtiger, aber das ist etwas komplett anderes und hat mit dieser Sicherheitslücke nichts zu tun.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Computersicherheit
RSS

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 13 Kommentare
Zum Autor
  • Richard Meusers schreibt als Autor für SPIEGEL ONLINE über die Digitalisierung.

Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.



Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.