Programmierfehler oder erlaubtes Verhalten?
Die Themen dieses Standpunkts: Eine Java-Schwachstelle, die laut Oracle keine ist, und eine NetBSD-Schwachstelle, die zu unsicheren Krypto-Schlüsseln führt.
Die Themen dieses Standpunkts: Eine Java-Schwachstelle, die laut Oracle keine ist, und eine NetBSD-Schwachstelle, die zu unsicheren Krypto-Schlüsseln führt.
Java im Browser ist gefährlich. Darum sollte man es ausschalten, wenn man es nicht braucht. Denn was nicht aus dem Browser heraus erreichbar ist, kann auch nicht über eine Drive-by-Infektion angegriffen werden. Im Fall von Mac OS X 10.7 und 10.8 reichte das Ausschalten von Browser im Java aber nicht aus, um Angriffe zu verhindern, wie jetzt im Rahmen eines Updates heraus kam.
Beim diesjährigen Pwn2Own-Wettbewerb auf der Sicherheitskonferenz CanSecWest wurde mit Ausnahme von Apples Safari alles gehackt, was zur Verfügung stand. Und ob Safari nun allen Angriffen widerstanden hat oder ob niemand Lust hatte, sich damit zu befassen, werden wir nie erfahren, denn es gab nicht einen einzigen Angriffsversuch.
Es geht weiter mit der Entwicklung rund um die aktuellen 0-Day-Schwachstellen. Oracle hat die am 28. Februar entdeckte 0-Day-Schwachstelle in Java behoben - und außerdem einen Sicherheitsforscher provoziert, der auf Oracles trotziges "Das da ist aber keine Schwachstelle!!!" noch mal genauer hin gesehen und dabei gleich fünf weitere Schwachstellen entdeckt hat. Zusammen erlauben sie den Ausbruch aus der Sandbox. Vielleicht sollte man besser mal die Java-Entwickler in einen Standkasten stecken?
Es gibt mal wieder eine neue 0-Day-Schwachstelle. Diesmal mal wieder in Java. Ich kann hier also gleich da weiter machen, wo ich vorigen Donnerstag aufgehört habe: