17.04.2013 07:40 aus Heise.de
Java 7 Update 21 stopft Sicherheitslücken und beschränkt Applets Update
Meldung vorlesen und MP3-Download
Oracle hat mit dem Java 7 Update 21 ein als bedeutend anzusehendes Patch-Release veröffentlicht. Es umfasst 42 Patches gegen Sicherheitsfehler, von denen 39 laut Oracle Angriffsoptionen bieten, Rechner ohne Authentifizierung an sich zu reißen. Aufgrund der zahlreichen Attacken gegen die Java-Plattform in der jüngsten Vergangenheit empfiehlt der Java-Statthalter, das neue Update so schnell wie möglich einzuspielen. Die durch das neue Release behobenen Sicherheitslücken erreichen den Höchstwert 10 des Common Vulnerability Scoring System (CVSS).
Oracle hatte mit dem Java 7 Update 17 beim Java Control Panel einen einfach zu bedienenden Schieberegler zur Einstellung des Sicherheitslevels nicht signierter Applets eingeführt, bei dem Anwender zwischen den Einstellungen niedrig, mittel, hoch und sehr hoch auswählen konnten. Nun korrigiert das Unternehmen mit dem neuen Update das Vorgehen. Es hatte Anfang des Jahres schon angekündigt, dass sich das Verhalten des Browser-Plug-ins beim Umgang mit unsigniertem Code ändern werde. Der Level "niedrig" steht jetzt nicht mehr zur Verfügung. Für Java im Browser bedeutet das, dass das Ausführen unsignierter Applets nicht mehr ohne Warnung für den Endanwender möglich ist.
Das Java-Logo zeigt das geringste Risiko an. Vergrößern Der Anwender bekommt davon dann etwas mit, wenn er die bereitgestellte Webseite über seinen Browser startet, dass dieser ihn grundsätzlich auf den aktiven Inhalt hinweist. Erst nach der Bestätigung, dass er Java wirklich ausführen will, startet das Browser-Plug-in die Java Virtual Maschine und führt die Anwendung aus.
[Update: 17.4.2013, 9:30:
Das gelbe Warnschild verheißt nichts Gutes. Vergrößern Dabei teilt Oracle das Risiko beim Ausführen eines Applets in zwei Stufen ein, die den Usern mit Symbolen in Infokästen angezeigt werden sollen. Erscheint das Java-Logo im Infokasten, handelt es sich um die niedrigste Risikostufe. Die entsprechende Anwendung kann ein gültiges Zertifikat vorweisen, der Herausgeber ist somit bekannt. Wird hingegen ein gelbes Warnschild angezeigt, warnt Java vor einer nicht signierten oder mit einem ungültigen Zertifikat signierten Anwendung.
Allerdings hatte Java bislang keine sonderliche Sorgfalt beim Überprüfen von Zertifikaten an den Tag gelegt. So zeigte es bei einem Trojaner, der mit einem gestohlenen, längst widerrufenen Zertifikat unterschrieben war, keine Warnung an. Die Gauner haben das gestohlene Zertifikat fleißig genutzt; der Trojaner wurde in den letzten Monaten in verschiedenen Variationen auf diversen gehackten Web-Seiten eingeschleust. Auch nach der Installation der soeben veröffentlichten Version ist die Überprüfung von Widerrufen durch die Zertifikatsherausgeber standardmäßig abgeschaltet. Java bietet in dieser Einstellung also nach wie vor keinen Schutz vor Trojanern mit gestohlenen Zertifikaten.
Ohne diese Einstellungen erkennt Java keine widerrufenen Zertifikate. Vergrößern
Da der Java-Updater die neue Version erst mit einem Verzug von bis zu einer Woche – bei älteren Versionen sogar bis zu einem Monat – zur Installation anbietet, sollte man diese lieber gleich im Java Control Panel von Hand anstoßen. Allerdings müssen Nutzer dabei auch wieder aufpassen: Die Ask-Toolbar lauert wieder im Update-Prozess. Nutzer hatten sich schon mehrfach über die Update-Praxis von Oracle beschwert.]
Für den Entwickler bedeuten die Änderungen, dass die Mehrzahl der Endanwender die Sicherheitsstufe nicht mehr auf "niedrig" oder individuell einstellen kann. Daraus resultiert, dass es nicht mehr so einfach ungewollt zum Ausführen nicht signierter Java-Anwendungen im Browser kommen kann. Allerdings ist es nun dringend zu empfehlen, Java-Anwendungen, die im Browser laufen sollen, mit einem gültigen Zertifikat zu signieren, wenn man ohne die neuen Warnungen auskommen will oder muss. Das Prozedere hierfür zeigt ein Hintergrundartikel auf heise Developer:
Java 7 Update 21 stopft Sicherheitslücken und beschränkt Applets Update
Meldung vorlesen und MP3-Download
Oracle hat mit dem Java 7 Update 21 ein als bedeutend anzusehendes Patch-Release veröffentlicht. Es umfasst 42 Patches gegen Sicherheitsfehler, von denen 39 laut Oracle Angriffsoptionen bieten, Rechner ohne Authentifizierung an sich zu reißen. Aufgrund der zahlreichen Attacken gegen die Java-Plattform in der jüngsten Vergangenheit empfiehlt der Java-Statthalter, das neue Update so schnell wie möglich einzuspielen. Die durch das neue Release behobenen Sicherheitslücken erreichen den Höchstwert 10 des Common Vulnerability Scoring System (CVSS).
Oracle hatte mit dem Java 7 Update 17 beim Java Control Panel einen einfach zu bedienenden Schieberegler zur Einstellung des Sicherheitslevels nicht signierter Applets eingeführt, bei dem Anwender zwischen den Einstellungen niedrig, mittel, hoch und sehr hoch auswählen konnten. Nun korrigiert das Unternehmen mit dem neuen Update das Vorgehen. Es hatte Anfang des Jahres schon angekündigt, dass sich das Verhalten des Browser-Plug-ins beim Umgang mit unsigniertem Code ändern werde. Der Level "niedrig" steht jetzt nicht mehr zur Verfügung. Für Java im Browser bedeutet das, dass das Ausführen unsignierter Applets nicht mehr ohne Warnung für den Endanwender möglich ist.
Das Java-Logo zeigt das geringste Risiko an. Vergrößern Der Anwender bekommt davon dann etwas mit, wenn er die bereitgestellte Webseite über seinen Browser startet, dass dieser ihn grundsätzlich auf den aktiven Inhalt hinweist. Erst nach der Bestätigung, dass er Java wirklich ausführen will, startet das Browser-Plug-in die Java Virtual Maschine und führt die Anwendung aus.
[Update: 17.4.2013, 9:30:
Das gelbe Warnschild verheißt nichts Gutes. Vergrößern Dabei teilt Oracle das Risiko beim Ausführen eines Applets in zwei Stufen ein, die den Usern mit Symbolen in Infokästen angezeigt werden sollen. Erscheint das Java-Logo im Infokasten, handelt es sich um die niedrigste Risikostufe. Die entsprechende Anwendung kann ein gültiges Zertifikat vorweisen, der Herausgeber ist somit bekannt. Wird hingegen ein gelbes Warnschild angezeigt, warnt Java vor einer nicht signierten oder mit einem ungültigen Zertifikat signierten Anwendung.
Allerdings hatte Java bislang keine sonderliche Sorgfalt beim Überprüfen von Zertifikaten an den Tag gelegt. So zeigte es bei einem Trojaner, der mit einem gestohlenen, längst widerrufenen Zertifikat unterschrieben war, keine Warnung an. Die Gauner haben das gestohlene Zertifikat fleißig genutzt; der Trojaner wurde in den letzten Monaten in verschiedenen Variationen auf diversen gehackten Web-Seiten eingeschleust. Auch nach der Installation der soeben veröffentlichten Version ist die Überprüfung von Widerrufen durch die Zertifikatsherausgeber standardmäßig abgeschaltet. Java bietet in dieser Einstellung also nach wie vor keinen Schutz vor Trojanern mit gestohlenen Zertifikaten.
Ohne diese Einstellungen erkennt Java keine widerrufenen Zertifikate. Vergrößern
Da der Java-Updater die neue Version erst mit einem Verzug von bis zu einer Woche – bei älteren Versionen sogar bis zu einem Monat – zur Installation anbietet, sollte man diese lieber gleich im Java Control Panel von Hand anstoßen. Allerdings müssen Nutzer dabei auch wieder aufpassen: Die Ask-Toolbar lauert wieder im Update-Prozess. Nutzer hatten sich schon mehrfach über die Update-Praxis von Oracle beschwert.]
Für den Entwickler bedeuten die Änderungen, dass die Mehrzahl der Endanwender die Sicherheitsstufe nicht mehr auf "niedrig" oder individuell einstellen kann. Daraus resultiert, dass es nicht mehr so einfach ungewollt zum Ausführen nicht signierter Java-Anwendungen im Browser kommen kann. Allerdings ist es nun dringend zu empfehlen, Java-Anwendungen, die im Browser laufen sollen, mit einem gültigen Zertifikat zu signieren, wenn man ohne die neuen Warnungen auskommen will oder muss. Das Prozedere hierfür zeigt ein Hintergrundartikel auf heise Developer: