Kritische Sicherheitslücke in Java

Firewall, Computerviren, Sicherheit, Internet-Kriminalität, Kinderschutz

Moderator: coolmann

Joyrider
Beiträge: 4570
Registriert: 27.09.2006, 08:45

Kritische Sicherheitslücke in Java

Beitragvon Joyrider » 30.08.2012, 09:14

Muss bisher durchgerutscht sein, hat ja noch keiner was von geschrieben:

Es ist DRINGEND!!! zu empfehlen Java in den Browsern zu deaktivieren, da es eine kritische, nicht behobene Sicherheitslücke gibt. Es ist auch noch nicht bekannt wann Oracle diese schliessen wird.

http://www.golem.de/news/kritische-sich ... 94207.html

Joyrider
Beiträge: 4570
Registriert: 27.09.2006, 08:45

Re: Kritische Sicherheitslücke in Java

Beitragvon Joyrider » 30.08.2012, 19:47

Es gibt jetzt von Oracle die Java Version 7 Update 7.

Dies soll die Lücke schliessen.

Benutzeravatar
linkin_park_forever
Moderator, hieß früher "vs"
Beiträge: 5944
Registriert: 13.03.2004, 21:15
Wohnort: München

Re: Kritische Sicherheitslücke in Java

Beitragvon linkin_park_forever » 30.08.2012, 20:36

Java updated sich in den meisten Fällen eh automatisch im Hintergrund? Danke für den Hinweis.

Joyrider
Beiträge: 4570
Registriert: 27.09.2006, 08:45

Re: Kritische Sicherheitslücke in Java

Beitragvon Joyrider » 30.08.2012, 20:39

Bei mir nicht. Ich mache generell alle Updates von Hand, hatte es schon mehrmals das z.B. nach einem Update der Adobe Reader nicht mehr lief (weil da der Avira Virenscanner zwischenfunkte).

Benutzeravatar
Andy_20
Beiträge: 4009
Registriert: 23.04.2004, 10:56

Re: Kritische Sicherheitslücke in Java

Beitragvon Andy_20 » 02.09.2012, 18:32

Selbst das Update hat wohl noch eine schwerwiegende Lücke, ich habe dementsprechend Java erstmal deinstalliert.
MfG Andy
Bild

Joyrider
Beiträge: 4570
Registriert: 27.09.2006, 08:45

Re: Kritische Sicherheitslücke in Java

Beitragvon Joyrider » 02.09.2012, 18:55


Benutzeravatar
linkin_park_forever
Moderator, hieß früher "vs"
Beiträge: 5944
Registriert: 13.03.2004, 21:15
Wohnort: München

Re: Kritische Sicherheitslücke in Java

Beitragvon linkin_park_forever » 14.09.2012, 21:39

Ist das denn mittlerweile behoben?

Joyrider
Beiträge: 4570
Registriert: 27.09.2006, 08:45

Re: Kritische Sicherheitslücke in Java

Beitragvon Joyrider » 26.09.2012, 12:07


Benutzeravatar
chillmensch
Beiträge: 1935
Registriert: 09.03.2004, 15:49
Wohnort: Kiel
Kontaktdaten:

Re: Kritische Sicherheitslücke in Java

Beitragvon chillmensch » 20.04.2013, 17:17

Hi Leute,

als Java Entwickler möchte ich bei diesem Thema etwas Klarheit verschaffen, da die diversen Artikel zu dem Thema immer recht dürftig ausfallen. Die in letzter Zeit angeprangerten Sicherheitslücken beziehen sich allesamt auf Webstart und Applets.

Ersteres ermöglicht es, Java Anwendungen - einfach ausgedrückt - direkt aus dem Internet heraus automatisch installieren und starten zu lassen. Bei erneuter Ausführung kann die Anwendung auch automatisch aktualisiert werden. Applets sind i.d.R. grafische Programme, die direkt in die Webseite eingebunden werden.

Applets sind heutzutage eigentlich kein Thema mehr und ich bin bisher noch nie über "massenkompatible" Software gestolpert, die per Webstart vertrieben wird. Bisher habe ich nur Tech-Demos und Spezialanwendungen gesehen, die das machen. Ich selber habe während meiner Studienzeit auch eine Anwendung geschrieben, die mit Webstart realisiert ist.

Normalerweise werden die Anwendungen bei beiden Techniken in einer abgeschotteten Umgebung gestartet. Zugriffe auf das System sollte nur Anwendungen gestattet werden, die entsprechend konfiguriert sind und eine Bestätigung des Benutzers erfordern. Dieser Mechanismus konnte nun aber vermehrt umgangen werden. Warum bei Java nun so ein Aufstand gemacht wird, kann ich nicht verstehen. Man denke nur einmal an Flash, PDF Plugins o.ä. Diese haben viel häufiger Sicherheitslecks in die Browser gerissen.

Meine Empfehlung: deaktiviert Java im Browser, der normale Benutzer braucht es einfach nicht mehr. Aber viele gute Anwendungen benötigen Java (z.B. OpenOffice/LibreOffice, JDownloader und Eclipse, um einige bekannte Vertreter zu nennen).

Ansonsten die Gute alte Regel befolgen: haltet eure Software immer auf dem neusten Stand.

Das war nun mein Wort zum Samstag ;)
Zuletzt geändert von chillmensch am 22.04.2013, 07:22, insgesamt 3-mal geändert.
Besucht doch auch mal meine persönliche Webseite
Mein letztes Projekt: Fahrschule Kiel

Benutzeravatar
schmidtsmikey
Site Admin
Beiträge: 8969
Registriert: 08.12.2003, 21:50
Wohnort: Hamburg
Kontaktdaten:

Re: Kritische Sicherheitslücke in Java

Beitragvon schmidtsmikey » 22.04.2013, 07:16

Danke schön, für die Erklärung. Mir persönlich geht dieses Sicherheitslücken-Gebashe auch auf die Nerven. Das hat sowas von Petzen bei kleinen Kindern. Schau mal, wie unsicher Windows, Java oder Flash ist, die haben schon wieder x Upates. Wenn ich mein Gentoo-Linux anschmeisse, kann ich täglich irgendein Package aktualisieren. Da ist es aber wieder "cool, toll und sicher".

Benutzeravatar
chillmensch
Beiträge: 1935
Registriert: 09.03.2004, 15:49
Wohnort: Kiel
Kontaktdaten:

Re: Kritische Sicherheitslücke in Java

Beitragvon chillmensch » 23.04.2013, 18:58

Und schon wieder aufgeblähte Artikel gegen Java: http://www.heise.de/open/meldung/Neue-Java-Sicherheitslücke-betrifft-Desktop-Systeme-und-Server-1847982.html

Diesmal betrifft es sowohl Applets als auch unsichere Serveranwendungen. Für den normalen Verbraucher also kein Risiko, sofern Java im Browser deaktiviert ist, zumal Applets seit dem letzten Update nun immer vom Anwender abgesegnet werden müssen.

Habe heute auch noch einmal in der Mittagspause mit meinen Kollegen über dieses Thema geschnackt. Sie sind genauso wie ich der Meinung, dass man Applets eigentlich über den Haufen werfen könnte. JNLP/Webstart ist zwar eine interessante Technik, aber kaum verbreitet, betrifft den normalen Verbraucher also eigentlich auch kaum.

Es ist lediglich meinem Chef ein sinnvolles Einsatzszenario eingefallen: mit einem Java Applet kann man Kartenlesegeräte ansprechen und somit z.B. den digitalen Personalausweis zur Authentifizierung/Authorisierung verwenden. Aber diese Möglichkeit nutzt auch kaum einer.
Besucht doch auch mal meine persönliche Webseite
Mein letztes Projekt: Fahrschule Kiel


Zurück zu „Security, AntiVirus & CyberCrime“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste