Während das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach dem letzten
Update eine
Entwarnung gegeben hat, ruft das
US-CERT die Nutzer weiterhin dazu auf, Java im Browser zu abzuschalten. Eine Deaktivierung von Java sei wichtig, um drohende Folgen abzuschwächen, falls neue Sicherheitslücken entdeckt werden.
Die Warnung bezieht sich auf neue Erkenntnisse von Sicherheitsexperten der Firma
Immunity. Sie behaupten, dass eine der
//www.com-magazin.de/sicherheit/news/detail/artikel/oracle-stopft-hochkritische-java-luecken.html?no_cache=1&cHash=7d972eb4c748ccd66a60c313c60f5801&ei=4av2UNrSHOSH4gTlnoHwAg&usg=AFQjCNEsbdtcLBB3qMd-jIClSioVS6kmLg&bvm=bv.41018144,d.bGE:kritischen Sicherheitslücken, über die Angreifer Code einschleusen können, weiterhin ausnutzbar sei. Dazu bräuchten Angreifer nur eine neue Zero-Day-Lücke finden, über die sie das Sicherheitsupdate umgehen können. Das hätte zur Folge, dass die angeblich gestopfte Lücke erneut für Angriffe missbraucht werden kann. Bereits existierende Exploits bräuchten dann nur noch überarbeitet werden. Darum ist es nach Ansicht der Sicherheitsexperten wichtig, jeden einzelnen Fehler genau zu untersuchen.
FazitAuch wenn die potentielle Gefahr durch neue Einfallstore besteht, wird die Gefahr einer Ausnutzung durch Oracles neue
Sicherheitseinstellungen für Applets deutlich reduziert. Das Unternehmen hat eine Hürde eingebaut, indem das Vertrauen gegenüber unsignierten Applets heruntergestuft wurde. Nutzer erhalten eine Warnmeldung, wenn ein unsigniertes Applet im Browser startet. Das macht es für Angreifer schwieriger, Schadcode einzuschleusen - es sei denn, sie verfügen über eine gültige Signatur.