Oracle prüft standardmäßig Java-Zertifikate nicht auf ihre dauerhafte Gültigkeit | News | MacTechNews.de

Alle Meldungen rund um die WWDC 2014 vom 2. bis zum 6. Juni

Donnerstag, 7. März 2013

Oracle prüft standardmäßig Java-Zertifikate nicht auf ihre dauerhafte Gültigkeit

Bild zur News "Oracle prüft standardmäßig Java-Zertifikate nicht auf ihre dauerhafte Gültigkeit"
Sicherheitsexperten haben eine weitere schwere Sicherheitslücke in Java entdeckt, die das Sandbox-System für Java-Applets im Web-Browser aushebeln kann. Aufgefallen war die Lücke bei einem Angriff auf Nutzer von Beolingus der TU Chemnitz. Dort wurde von Angreifern signierte Schadsoftware eingeschleust, die von Java als gültige zertifizierte App behandelt wurde. Der Nutzer musste nur noch zustimmen, der signierten App den Zugriff auf Computer und Daten zu erlauben, um den Angreifern den uneingeschränkten Zugang zum System zu ermöglichen. Schuld sind Oracles Sicherheitseinstellungen für Java, die offenbar immer noch unzureichend sind. So wird bei signierten Apps nicht geprüft, ob das zugehörige Zertifikat wieder zurückgezogen wurde. Im vorliegenden Fall war das Zertifikat für den signierten Schädling bereits seit Anfang Dezember wegen Diebstahl für ungültig erklärt worden. Um sich vor derartigen Angriffen zu schützen, müssen Nutzer daher in den Java-Einstellungen selbst aktiv werden, und dort die Prüfung auf zurückgezogene Zertifikate in der Widerrufungsliste (CRL) aktivieren. Es bleibt zu hoffen, dass Oracle diese Einstellung bei zukünftigen Java-Updates standardmäßig aktiviert. Unabhängig davon sollte das Java-Plugin (nicht JavaScript) aber im Normalfall deaktiviert bleiben und nur bei Bedarf im Web-Browser hinzugeschaltet werden.
0
0
0
2

Kommentare

da_andy
Da kann man nur eins sagen...ANFÄNGER bei der Arbeit!

Und mMn ist JAVA das neue Flash, wenn es um die Verbreitung und Sicherheit geht!
Christian Fries
Tsss.... dass das Java Browser-Plugin immer als "Java" bezeichnet wird.

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

SIGGRAPH 2014 (0)
10.08.14 - 14.08.14, ganztägig
Macintisch Würzburg (0)
13.08.14 19:00 Uhr
Mac-Treff München (0)
13.08.14 19:00 Uhr
Apple-Treff Hamburg (0)
06.09.14 18:00 Uhr
Macintisch Würzburg (0)
10.09.14 19:00 Uhr
Mac-Treff München (0)
10.09.14 19:00 Uhr
IBC2014 (Amsterdam) (0)
11.09.14 - 16.09.14, ganztägig

Woher beziehen Sie am liebsten Musik?

  • Aus dem iTunes Store oder einem anderen kostenpflichtigen Download-Dienst53,8%
  • Über kostenpflichtige Streaming-Dienste11,9%
  • Über kostenloses Online-Streaming bzw. (Online-)Radio4,7%
  • Ich kaufe Musik auf physikalischen Medien wie CDs oder Vinyl20,6%
  • Auf anderem Wege9,1%
573 Stimmen21.07.14 - 23.07.14
0