Oracles Java-Sicherheitsupdates fehlen, sagen Experten

2013-12-30  |  Comebuy News

Oracles neueste Update des Java Development Kits nicht weit genug gehen die Sicherheit unruhigen Plattform, bringt nur marginale Verbesserungen stattdessen Experten sagen Befestigung.

Comebuy Verwandte Artikel: Warnung: Java Zero Day Flaw unter AttackLatest Java-Zero-Day-Exploit erneuert Anrufe deaktivieren hilft Oracle Patch für Java 7 Verlegenheit der Zero-Day-Fehler?Hacker starten Millionen über Java nutzt, sagt, dass MicrosoftApple Java Loch, Verschiebungen von Plug-in-Stecker

Zu den Verbesserungen in Java SE Development Kit 7 ist Update 10 (JDK 7u10) die Möglichkeit, die Systemsteuerung verwenden, um Javaanwendungen laufen im Browser zu verhindern. Schwachstellen in Java sind ein zentrales Ziel für Cyberkriminelle, die Hoffnung, Computer mit Malware zu infizieren.

Denn Hacker weiß, dass viele Menschen nicht die Java Plug-in für Browser auf den neuesten Stand einhalten lässt alte Schwächen Ausbeutung ist. Dies hat eine hohe Erfolgsquote für Angreifer geführt. Im Jahr 2011 hatte ein Exploit integriert die Blackhole-Toolkit, ein Hacker-Favorit, mehr als ein 80-Prozent-Erfolg bewerten, laut HP Sicherheit Forschungsabteilung.

Weitere Verbesserungen im JDK 7u10 gehören mithilfe der Systemsteuerung, wählen aus vier Sicherheitsebenen für nicht signierte Applets, Java Web Start-Anwendungen und embedded JavaFX-Anwendungen, die in einem Browser ausgeführt. Darüber hinaus hat Oracle ein Dialogfeld hinzugefügt, die warnen Leute, wenn das Java plug-in muss aktualisiert werden, um zu verhindern, nutzt.

Begrüßt die Änderungen, sagte Experten ist es nur ein Anfang. "Neuerungen hin oder her: Oracle noch einen langen Weg zu gehen, um die Sicherheit zu verbessern", sagte Andrew Stürme, Direktor der Sicherheitsmaßnahmen bei nCircle.

Weil Verbraucher nicht zu behelligen, Java jetzt zu aktualisieren sind, sind sie wahrscheinlich nicht die Zeit nehmen zu lernen, wie man die Systemsteuerung verwenden, sagen Experten. Darüber hinaus Stürme weist darauf hin, dass große Unternehmen mit einem Vollzeit es Sicherheit Personal wird nur suchen, die die neuen Einstellungen zu helfen, wenn sie von Microsoft Active Directory oder andere Verzeichnisserver zentral verwaltet werden können.

"Ohne diesen Zugang die neuen Einstellungen werden im wesentlichen nutzlos sein für Unternehmen, die IT-teams," Stürme sagte.

[Bill Brenner in gesalzen Hash: Wenn wir ausschalten Java, was es ersetzt?]

Wichtigere Verbesserungen erforderlich für Java ist Codebasis für Oracle ausführen "fuzz" auf der Plattform testen, sagte forensische Analytiker eine Lumension, Paul A. Henry und Sicherheit. Fuzzing ist ein Software-Tests Technik Codierung Fehler und Sicherheitslücken zu finden.

Wolfgang Kandek, chief Technology Officer bei Qualys, vorgeschlagene Oracle fügen Sie eine URL-Blacklist/Whitelist-Funktion, die IT-Administratoren nutzen könnten, um einzuschränken, was Java-Applets im Browser ausgeführt werden können. Hacker nutzen die Mini-Programme in Reihenfolge Exploit Fehler.

Oracle muss auch release Patches schneller, vor allem, wenn eine bisher unbekannte Sicherheitslücke entdeckt wird, sagte HD Moore, Sicherheitsbeauftragte für Rapid7. Oracle veröffentlicht Patches auf Quartalsbasis, Microsoft und Adobe Version Ihnen monatlich.

"Oracles vierteljährlichen Patch-Zyklus steht im Widerspruch zu anderen Herstellern von Hochrisiko-Browser Add-ons, wie Adobe," Moore sagte CSO Online.

Stürme vereinbart, dass Oracle langsam war, Befestigungsbohrung und fügte hinzu, dass der Verkäufer die Sicherheitsindustrie mit mehr Details auf Sicherheitslücken und Patches bereitstellen muss. "Oracle Java Sicherheit im gesamten 2012 Adressierung lausige Arbeit geleistet hat und es gibt keinen Grund anzunehmen, dass sie ihre Strategie im Jahr 2013 ändern werden", sagte er.

Oracle wurde 2010 mit der Übernahme von Sun Microsystems Java Verwalter.

Lesen Sie mehr über Anwendungssicherheit in CSOonlines Anwendungssicherheit Abschnitt.

« Back