Java SE 7u21 ist da: Java-Update mit signifikanten Sicherheitsverbesserungen

Hartmut Schlosser

Oracle hat neue Sicherheitsupdates für Java SE 7 und Java SE 6 vorgelegt. Neben dem Schließen von Sicherheitslücken sind die wichtigsten Änderungen im Java SE 7u21 Release die neuen Sicherheitseinstellungen im Java Control Panel. Per Default müssen nun alle Java Applets und Web Start Applikationen, die vom Java Browser Plug-in Gebrauch machen, mit einem bekannten Zertifikat signiert sein. Bisher war Code-Signierung nur ein optionales Feature, angesichts der anhaltenden Attacken auf Java Browser-Anwendungen hat man sich nun aber entschieden, den Sicherheitsgurt enger zu schnallen und die Signierung als notwendig einzuführen.

Abhängig von den Sicherheitseinstellungen können selbst-signierte oder unsignierte Anwendungen nun zurückgewiesen werden. Etwa werden in der Default-Sicherheitsstufe „High“ bei JREs, die oberhalb der Security Baseline liegen, lokale und unsignierte Apps mit erweiterten Rechten nicht ausgeführt. Explizit gefragt, ob man einer Ausführung zustimmt, wird man bei Apps, die mit einem vertrauenswürdigen Zertifikat, selbst-signiert oder unsigniert vorliegen.

Bei JREs unterhalb der Security Baseline erfolgt die Abfrage nur bei Apps mit einem signierten Zertifikat – alle anderen Apps werden nicht ausgeführt. Stattdessen wird die Option angezeigt, ein JRE-Update durchzuführen. Entfernt wurden zudem die Sicherheitsstufen „Low“ und „Custom“ im Security Slider.

Sicherheitspanel in Java SE 7u21. Bild: Java SE 7u21 Dokumentation, Oracle

Oracle unterhält zudem nun ein Repository für Zertifikate und eine Blacklist für unerwünschte Jars. Die Daten werden auf den Client-Computern täglich beim ersten Start eines Java Applets oder einer Web-Start-Anwendung aktualisiert.

Neu ist auch, dass JavaScript Code, der innerhalb eines Applets Code mit der Erlaubnis aufruft, außerhalb der Security Sandbox zu laufen, nun als Mixed Code angesehen wird (was Warnungen nach sich ziehen kann). Sicherheitswarnung erfolgen auch dann, wenn die signierten JAR Files nicht mit dem „Trusted-Library“-Attribut getaggt sind.

Enthalten ist ein neues Server JRE Package, das ohne Java Plug-in, Auto-Update und Installer auskommt und Tools für Server Deployments anbietet. Neuerungen betreffen auch das JDK für Linux auf ARM und das Runtime.exec.

Insgesamt wurden zudem 42 Sicherheitsfixes vorgenommen. Darunter wurden 19 mit dem höchsten Gefahrenindex von 10 eingestuft, weitere 5 mit dem ebenfalls hohen Wert von 9.3. Eine Aktualisierung wird also dringend empfohlen.

Weitere Infos zum Java SE 7u21 Update und dem ebenfalls vorliegenden Java SE 6u45 Update können den Release Notes entnommen werden.

UPDATE: Alle neuen Sicherheitswarnungen für den Endanwender hat Oracle übrigens auf der Seite „What should I do when I see a security prompt from Java? zusammengefasst.

Geschrieben von
Hartmut Schlosser
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.