Oracle hat das Aus für das inzwischen 21 Jahre alte Java-Browser-Plug-in angekündigt. Die nächste Version des Java SE Development Kit, die im März 2017 erscheinen soll, wird es erstmals ohne die als unsicher geltende Erweiterung ausliefern. Zunächst sei vorgesehen, das Java-Browser-Plug-in mit Veröffentlichung von JDK 9 (Java Development Kit) als „veraltet“ zu markieren und die Technologie „im Zuge eines künftigen Releases von Java SE (Standard Edition) sowohl aus dem Oracle JDK als auch aus der Oracle JRE (Java Runtime Environment) zu entfernen“, teilt das Unternehmen mit.
Das Java-Browser-Plug-in basiert, wie die ebenfalls anfälligen Plattformen Adobe Flash und Microsoft Silverlight, auf NPAPI (Netscape Plug-in Application Programming Interface) – einem seit den neunziger Jahren genutzten Standard für Browser-Erweiterungen. Dieser stellt jedoch schon seit Jahren ein Sicherheitsrisiko für Desktop-Browser dar, sodass die Browser-Anbieter nach und nach den Support für die API herunterfahren.
Google kündigte beispielsweise schon im November 2014 an, ab 2015 standardmäßig alle auf NPAPI basierenden Erweiterungen zu blockieren. Damit fielen auch die bis dahin geltenden Ausnahmen für Java-, Silverlight- und Google-Earth-Plug-ins weg. Mozilla wird NPAPI-Plug-ins ab Ende 2016 nicht mehr unterstützen.
Täglich unterschreiben wir Empfangsbestätigungen von Paketen, Mietwagenverträge oder Kreditkartenzahlungen mit elektronischen Unterschriften. Im Geschäftsalltag fühlen sich jedoch insbesondere kleine und mittelständische Unternehmen häufig noch abgeschreckt, elektronische Signaturen einzusetzen. Sofern sie richtig in die passenden Geschäftsprozesse integriert werden, bieten sie aber einen großen Mehrwert und sind verbindlicher als eine Bestätigung per E-Mail.
Apple hatte bereits im Oktober 2013 das zu der Zeit noch von dem Unternehmen bereitgestellte Java-Browser-Plug-in mit der damals aktuellen Version von Java SE 6 in Mac OS 10.7 entfernt. Mit dem Update wollte Apple Nutzer dazu bewegen, von der von ihm gepflegten Java-Version auf Oracles Java Runtime umzusteigen.
Die Cisco-Tochter Sourcefire wies schon vor zwei Jahren darauf hin, dass Kriminelle es ausgesprochen häufig auf Schwachstellen in Java abgesehen haben. Die Oracle-Software hatte zu dem Zeitpunkt die zuvor beliebtesten Ziele Adobe Acrobat und Microsoft Office abgelöst. Sourcefire zufolge wurde Java damals für 91 Prozent aller Web-Angriffe als Einfallstor genutzt. Allerdings beschränkten sich die Sicherheitsforscher für ihre Studie auf Java, Microsoft Word, Excel und PowerPoint sowie den Adobe Reader.
[mit Material von Rainer Schneider, ITespresso.de]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
