Okt:2012: Java Zero-Day-Lücke Win/Mac/Linux - neue Lücke

Status
Für weitere Antworten geschlossen.

ian_moone

Member
Themenstarter
Registriert
29 Dez. 2010
Beiträge
699
Java - Updates und Hinweise zu kritischen Sicherheitslücken Win/Mac/Linux - Update!

Edit by Mornsgrans:
Das Oktober-Update von Oracle brachte keine Besserung. Siehe Beitrag #147

Update 15.01.13:
Die Sicherheitslücke wurde endlich (offensichtlich) geschlossen.
Siehe Beitrag #193

Update 17.01.13:
Neue Lücke entdeckt.
Siehe Beitrag #203


Update 02.02.13:
Neues Update auf 1.7u13
Siehe Beitrag #208


Update 19.02.13:
Weiteres Update auf 1.7u15
Siehe Beitrag #217


-----------------------------------

Update 16.04.13:
Weiteres Update auf 1.7u21
Siehe Beitrag #251


Da ziemlich wichtig, hier nochmal der Hinweis zur Zero-Day-Lücke in Java!

Betroffen sind alle Systeme und alle Browser.


Lösung: Deinstallation von Java oder deaktivieren des Plugins! oder Update! Auf 1.7u21 (siehe unten!)http://www.oracle.com/technetwork/java/javase/downloads/index.html

Die nächsten regülären Java-Updates sieheUpdate-Plan

ZDNet - Alle Betriebssysteme/Browser betroffen - Der Beweis

Heise-Security - BSI warnt vor Java-Lücke



Anleitung zur Deaktivierung des Java-Plugins im jeweiligen Browser:

- bei Chrome/Iron wird JAVA über chrome":"plugins (= : ohne Anführungsstiche!) bzw. chrome://plugins deaktiviert bzw. nach Anleitung

- bei Firefox mit Extras - Addons - Plugins (dort "Java Platform SE...") bzw. nach Anleitung

- bei Opera über opera":"plugins (= : ohne Anführungsstiche!)

- bei Safari nach Anleitung

- bei Internet Explorer nach Anleitung bzw. alternativ unter Solution




Java Update auf 1.7u21 - Release-Notes
 
Zuletzt bearbeitet:
Da ich Java deinstalliert hatte nach dem Bug: welches ist denn auf der Downloadseite die richtige Version, um es neu zu installieren (bin etwas verwirrt)?
 
Die JRE-Version ist in den meisten Fällen ausreichend, falls keine Entwicklungen (JDK-Version) durchgeführt werden. Weiter kann noch zwischen der 32- und 64Bit-Version gewählt werden (am besten die Off-Line Installation wählen). Empfehle hier 32Bit, z.B. falls Firefox eingesetzt wird. Bei der Installation sämtliche Browser schliessen.
 
Also den scheiß Oracle-Security-Newsletter kann man sich auch sparen, da kommt sowieso nichts. Selbst computerbase hat das eher im "Sortiment".
 
Und alles wieder auf Anfang. Die Sicherheitslücke die einen Ausbruch aus der Sanbox erlaubt ist weiterhin vorhanden und soll erst am näöchsten Java-Patchday (19.02.2013) geschlossen werden.

Quelle: Heise Sec
 
Zuletzt bearbeitet von einem Moderator:
das ist doch jetzt nicht deren ernst oder? :facepalm: ... klar, schwerwiegende sicherheitslücken kann man ja GERN mal fürn halbes jahr im System lassen, wofür denn einen kurzfristigen Patch erstellen :pinch: ... echt unglaublich *argh*
 
Threadtitel und Startbeitrag angepasst.

Man neigt zu der Annahme, dass Oracle schon zu lange auf eingefahrenen Bahnen operiert und dementsprechend unflexibel ist... :cursing:
 
Hier nochmals die Vorgehensweise, wie das Java-PlugIn im IE komplett deaktiviert werden kann:
Oder gleich in Systemsteuerung > Programme und Funktionen deinstallieren (ich rede von Win7)

Das scheint das einzig sichere Mittel bezüglich des IE (mit Java) zu sein, der, zur Erinnerung, auch dann von Windows (im Hintergrund) installiert und verwendet wird, wenn man ihn gar nicht zur Installation ausgewählt hat!

Das Schlimmste:

der so im Hintergrund installierte IE lässt sich nicht aufrufen und updaten bzw. anpassen! (Windows verlangt besondere "Installerrechte", die man auch als Admin nicht hat! Man ist also auf die Windows-Updates angewiesen, die keine spezifischen Infos liefern, sondern sich in irgendwelchen "Defender"-Updates verstecken dürften. Somit gilt das Prinzip Hoffnung als Sicherheitsprinzip. Prost!

(Ich bemerke das Vorhandensein des IE bei Verwendung von CCleaner: oft werden dabei IE-Daten gelöscht, obwohl ich keinen IE installiert habe. Gemeinerweise lässt sich der noch nicht einmal durch Sichtbarmachzung der versteckten Dateien auffinden. Wohl aber als Ordner, der sich leider nicht löschen lässt = da erscheint wieder die Forderung, die - nicht vorhandenen - "Installer"rechte nachzuweisen) :cursing:
 
Zuletzt bearbeitet:
Nun... die von mir erwähnte Vorgehensweise lässt sich, falls das Java PlugIn ggf. benötigt wird, schnell ein- und wieder ausschalten. Habe es erneut auf diese Weise auf meinem System eingerichtet. Im FF gibt's ja keine Probleme... einfach die Java PlugIns deaktivieren.
 
Das ist eben der Unterschied zu den anderen Browsern:

Den ohne dein OK installierten IE im Hintergrund kannst du weder aufrufen, noch dort irgend etwas an- oder abschalten. Nicht einmal eine Neu- bzw. Drüberinstallation ist möglich! Wird einfach verweigert, da "schon eine neuere Version installiert" sei. Absolut verrückt!
Deshalb bleibt bei mir Java so lange ganz von Bord, wie Oracle es nicht schafft, eine akzeptable Version hinzukriegen.
 
Warum setzt man eigentlich immer noch auf JVMs der offenbar nicht wie gedacht eine Schutzschicht darstellt sondern zu einer weiteren Angriffsfläche geworden zu sein scheint?

Java scheint ein relativ ordentliche Sprache zu sein aber der Imageschaden durch offenbar nicht mehr beherrschbaren Lücken im JVM dürfte doch immens sein?

Mittlerweile seufze ich erleichtert wenn ich Java vom Rechner entfernen kann weil eine andere Lösung gefunden wurde denn Java war neben Flash die Haupteingangstore für Schädlinge.
 
Selbst brauche ich Java, das ansonsten bspw. Wuala nicht arbeiten würde.

@MarcusAgrippa: mit dieser Methode wird das Java-PlugIn vollständig deaktiviert :thumbup:.
 
@ Helios: sieht ja nicht allzu vertrauenerweckend aus: "US-CERT has some additional suggestions for removing Java from IE if the above steps do not do the trick." ^^
 
Könntest du es mal austesten? Wie erwähnt, brauche Java eben für Wuala.
 
Das Problem ist nicht Java selbst, sondern die Integration in den Webbrowser in Form von Java-Applets.

Solange ein Javaprogramm lokal auf dem Rechner ausgeführt wird, ist es genauso sicher bzw. unsicher wie jedes andere Programm auch.
Der Große Vorteil, dass nun mit Java aber eben auch beliebige Programme plattformübergreifend mal eben im Browser ausgeführt werden können, ist gleichzeitig auch der größte Nachteil, da es eben Sicherheitsrisiken mit sich bringt. Java mit Flash gleichzusetzen wäre aber verblendet, wenn man sich mal anschaut welche Programme alle mit Java laufen.
 
Status
Für weitere Antworten geschlossen.
  • ok1.de
  • thinkstore24.de
  • ok2.de - Notebook Computer Server
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben