Java 7 Update 21 stopft Sicherheitslücken und beschränkt Applets

Das neue Java-Update beseitigt 42 Sicherheitslücken; das Update führt darüber hinaus einen restriktiveren Umgang im Java Control Panel beim Ausführen von Java-Applets ein und fördert den Einsatz signierter Applets.

In Pocket speichern vorlesen Druckansicht 140 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Alexander Neumann

Oracle hat mit dem Java 7 Update 21 ein als bedeutend anzusehendes Patch-Release veröffentlicht. Es umfasst 42 Patches gegen Sicherheitsfehler, von denen 39 laut Oracle Angriffsoptionen bieten, Rechner ohne Authentifizierung an sich zu reißen. Aufgrund der zahlreichen Attacken gegen die Java-Plattform in der jüngsten Vergangenheit empfiehlt der Java-Statthalter, das neue Update so schnell wie möglich einzuspielen. Die durch das neue Release behobenen Sicherheitslücken erreichen den Höchstwert 10 des Common Vulnerability Scoring System (CVSS).

Oracle hatte mit dem Java 7 Update 17 beim Java Control Panel einen einfach zu bedienenden Schieberegler zur Einstellung des Sicherheitslevels nicht signierter Applets eingeführt, bei dem Anwender zwischen den Einstellungen niedrig, mittel, hoch und sehr hoch auswählen konnten. Nun korrigiert das Unternehmen mit dem neuen Update das Vorgehen. Es hatte Anfang des Jahres schon angekündigt, dass sich das Verhalten des Browser-Plug-ins beim Umgang mit unsigniertem Code ändern werde. Der Level "niedrig" steht jetzt nicht mehr zur Verfügung. Für Java im Browser bedeutet das, dass das Ausführen unsignierter Applets nicht mehr ohne Warnung für den Endanwender möglich ist. Somit fragt Java den Anwender vor jedem Start eines Java-Applets um Erlaubnis.

Das Java-Logo zeigt das geringste Risiko an.

Das gelbe Warnschild verheißt nichts Gutes.

[Update: 17.4.2013, 9:30:Dabei teilt Oracle das Risiko beim Ausführen eines Applets in zwei Stufen ein, die den Usern mit Symbolen in Infokästen angezeigt werden sollen. Erscheint das Java-Logo im Infokasten, handelt es sich um die niedrigste Risikostufe. Die entsprechende Anwendung kann ein gültiges Zertifikat vorweisen, der Herausgeber ist somit bekannt. Wird hingegen ein gelbes Warnschild angezeigt, warnt Java vor einer nicht signierten oder mit einem ungültigen Zertifikat signierten Anwendung.

Ohne diese Einstellungen erkennt Java keine widerrufenen Zertifikate.

Allerdings hatte Java bislang keine sonderliche Sorgfalt beim Überprüfen von Zertifikaten an den Tag gelegt. So zeigte es bei einem Trojaner, der mit einem gestohlenen, längst widerrufenen Zertifikat unterschrieben war, keine Warnung an. Die Gauner haben das gestohlene Zertifikat fleißig genutzt; der Trojaner wurde in den letzten Monaten in verschiedenen Variationen auf diversen gehackten Web-Seiten eingeschleust. Auch nach der Installation der soeben veröffentlichten Version ist die Überprüfung von Widerrufen durch die Zertifikatsherausgeber standardmäßig abgeschaltet. Java bietet in dieser Einstellung also nach wie vor keinen Schutz vor Trojanern mit gestohlenen Zertifikaten.

Da der Java-Updater die neue Version erst mit einem Verzug von bis zu einer Woche – bei älteren Versionen sogar bis zu einem Monat – zur Installation anbietet, sollte man diese lieber gleich im Java Control Panel von Hand anstoßen. Allerdings müssen Nutzer dabei auch wieder aufpassen: Die Ask-Toolbar lauert wieder im Update-Prozess. Nutzer hatten sich schon mehrfach über die Update-Praxis von Oracle beschwert.]

Für den Entwickler bedeuten die Änderungen, dass die Mehrzahl der Endanwender die Sicherheitsstufe nicht mehr auf "niedrig" oder individuell einstellen kann. Daraus resultiert, dass es nicht mehr so einfach ungewollt zum Ausführen nicht signierter Java-Anwendungen im Browser kommen kann. Allerdings ist es nun dringend zu empfehlen, Java-Anwendungen, die im Browser laufen sollen, mit einem gültigen Zertifikat zu signieren, wenn man ohne die neuen Warnungen auskommen will oder muss. Das Prozedere hierfür zeigt ein Hintergrundartikel auf heise Developer:

[Update: 19.4.2013, 13:00 Uhr: ]