Oracle will eine Hauptquelle von Java-Sicherheits­problemen beseitigen

28. Mai 2018 um 12:03
  • technologien
  • java
image

Wie Oracles Java-Chefarchitekt Mark Reinhold --https://www.

Wie Oracles Java-Chefarchitekt Mark Reinhold gegenüber 'InfoWorld' erklärte, plant Oracle mittelfristig die Unterstützung der Funktion "Java Object Serialization" ab einer der kommenden Versionen abzustellen. Wann beziehungsweise mit welcher Version dies geschehen könnte, konnte er aber noch nicht sagen.
Die Einführung des Serialization-Features im Jahr 1997 sei ein "schrecklicher Fehler" gewesen, so Reinhold. Mindestens ein Drittel, vielleicht sogar die Hälfte aller bisher in Java gefundenen Sicherheitslücken hätten mit Serialization zu tun.
Mit der Serialization werden in Java Objekte aus dem Memory in diverse binäre oder Text-Datenformate übersetzt, um sie zu speichern und übermitteln zu können. Die Sicherheitsprobleme entstehen, wenn inside-it.ch das richtig verstanden hat, vor allem bei der anschliessenden Deserialization. Java Applikationen können dazu gebracht werden, von Angreifern eingeschleusten böswilligen Code bei der Deserialisierung auszuführen.
Laut Reinhold ist es Oracles Plan, das in Java eingebaute gefährliche Feature durch ein "Serialization-Framework" zu ersetzen. Dieses würde es gemäss Reinhold Entwicklern erlauben, andere Serialization Engines zu verwenden, deren Daten dann in Java auf sichere Weise deserialisiert werden könnten. Voraussetzung, um dieses Framework einzuführen, ist allerdings, dass zuerst das ebenfalls neue Feature "Records", auch bekannt als Data Classes for Java, eingeführt wird. (hjm)

Loading

Mehr zum Thema

image

Wird SAP das Supportende für Legacy-Systeme doch noch verschieben?

Wenn SAP beim vorgesehenen Datum 2030 bleibt, könnte der ERP-Riese viele Supporteinnahmen verlieren, sagt Marktforscher Gartner.

publiziert am 14.2.2025
image

KI produziert alternative Fakten

Die 'BBC' hat vier KI-Modelle auf ihre Faktentreue hin untersucht. ChatGPT, Copilot, Gemini und Perplexity AI blieben nicht immer bei der Wahrheit.

publiziert am 13.2.2025
image

SAP bündelt Apps, Daten und KI in einer Suite

Die wiederbelebte Business Suite führt SAP-Anwendungen zusammen. In der Business Data Cloud werden Geschäftsdaten kombiniert, um sie für Künstliche Intelligenz nutzbar zu machen.

publiziert am 13.2.2025
image

Cisco nimmt sich KI-Herausforderungen an

Der Einsatz von Künstlicher Intelligenz birgt Sicherheitsrisiken. Mit Neuerungen will Cisco sich diesen annehmen und zu mehr Resilienz beitragen.

publiziert am 12.2.2025