Java 7 Update 21 stopft 42 Löcher, bringt neue Sicherheitsmechanismen

Oracle hat ein neues Sicherheitsupdate für seine Java Runtime veröffentlicht. Das Update 21 beseitigt insgesamt 42 Sicherheitslücken, von denen 39 hochkritisch sind, da sie eine vollständige feindliche Übernahme des eigenen Systems ermöglichen. Bis hier hin fällt das noch in die Rubrik „Business as usual“ – Oracle reagiert aber auch auf die zuletzt vermehrten Angriffe auf die Java-Plattform und führt neue Sicherheitsmechanismen ein, die präventiv schützen und dabei helfen sollen, schädliche Java-Anwendungen besser zu identifizieren.

Erscheint vor der Ausführung eines Java-Applets ein Warnhinweis, in dem das originale Java-Logo zu sehen ist, so handelt es sich um eine Anwendung mit einem gültigen, signierten Zertifikat – das ist die höchste Vertrauensstufe:

Dennoch empfiehlt Oracle, sich den Text in der Dialogbox genau anzusehen, ob dort vielleicht doch etwas steht, was dem Nutzer nicht ‚koscher‘ erscheint.

Stammt das Zertifikat von einer vertrauenswürdigen Stelle, ist aber abgelaufen, so warnt ein gelbes Dreieck vor der Ausführung und ein gelbes Infoschild weist auf das nicht mehr gültige Zertifikat hin:

Auch hier beurteilt Oracle das Risiko als moderat, fordert aber zu erhöhter Vorsicht auf. Wichtig ist der Infotext, ob die Anwendung mit eingeschränkten Rechten in der Sandbox oder mit unbeschränkten Zugriffen (wie im Beispiel) ausgeführt werden soll. Wenn es nur den geringsten Verdacht gibt, empfiehlt es sich, auf „Abbrechen“ zu klicken.

Höchste Alarmstufe gilt, wenn die Anwendung nicht digital signiert wurde – ein roter Hinweis warnt in diesem Fall für der Ausführung.

Keine Experimente: Wenn diese Dialogbox erscheint, sofort auf „Abbrechen“ klicken – egal, welche Verlockung dahinter steht und wie vertrauenswürdig die Seite erscheint, die man gerade besucht. Beim unteren Beispiel spricht Oracle nur von einem geringen Sicherheitsrisiko und meint, solche Anwendungen könnten „im Allgemeinen gefahrlos“ ausgeführt werden – dem widerspreche ich an dieser Stelle einfach mal – wenn es nicht signiert ist, ist es verdächtig und hat auf dem Rechner nichts verloren.

Alle diese Infos gibt es auch nochmal auf der Java-Homepage zum Nachlesen.

Was die neuen Sicherheitsmechanismen in der Praxis taugen, bleibt abzuwarten – und das in zweierlei Hinsicht. Zum Einen muss sich zeigen, ob Hacker nicht doch eine Möglichkeit finden, ihre schädlichen Applets als vertrauenswürdig zu kennzeichnen. Und auf der anderen Seite sind all diese Hinweise nichts wert, wenn sie von den Nutzern nicht gelesen und reflexartig bestätigt werden.

Ich habe seit langer Zeit kein Java mehr installiert und vermisse nichts, dennoch begrüße ich diese neuen Maßnahmen – trotz der erneut zahlreich geschlossenen Sicherheitslücken geben sie mir in der Tat ein Stück Vertrauen zurück.

Zum Download der aktuellen Java Runtime