Okt:2012: Java Zero-Day-Lücke Win/Mac/Linux - neue Lücke

Status
Für weitere Antworten geschlossen.

ian_moone

Member
Themenstarter
Registriert
29 Dez. 2010
Beiträge
699
Java - Updates und Hinweise zu kritischen Sicherheitslücken Win/Mac/Linux - Update!

Edit by Mornsgrans:
Das Oktober-Update von Oracle brachte keine Besserung. Siehe Beitrag #147

Update 15.01.13:
Die Sicherheitslücke wurde endlich (offensichtlich) geschlossen.
Siehe Beitrag #193

Update 17.01.13:
Neue Lücke entdeckt.
Siehe Beitrag #203


Update 02.02.13:
Neues Update auf 1.7u13
Siehe Beitrag #208


Update 19.02.13:
Weiteres Update auf 1.7u15
Siehe Beitrag #217


-----------------------------------

Update 16.04.13:
Weiteres Update auf 1.7u21
Siehe Beitrag #251


Da ziemlich wichtig, hier nochmal der Hinweis zur Zero-Day-Lücke in Java!

Betroffen sind alle Systeme und alle Browser.


Lösung: Deinstallation von Java oder deaktivieren des Plugins! oder Update! Auf 1.7u21 (siehe unten!)http://www.oracle.com/technetwork/java/javase/downloads/index.html

Die nächsten regülären Java-Updates sieheUpdate-Plan

ZDNet - Alle Betriebssysteme/Browser betroffen - Der Beweis

Heise-Security - BSI warnt vor Java-Lücke



Anleitung zur Deaktivierung des Java-Plugins im jeweiligen Browser:

- bei Chrome/Iron wird JAVA über chrome":"plugins (= : ohne Anführungsstiche!) bzw. chrome://plugins deaktiviert bzw. nach Anleitung

- bei Firefox mit Extras - Addons - Plugins (dort "Java Platform SE...") bzw. nach Anleitung

- bei Opera über opera":"plugins (= : ohne Anführungsstiche!)

- bei Safari nach Anleitung

- bei Internet Explorer nach Anleitung bzw. alternativ unter Solution




Java Update auf 1.7u21 - Release-Notes
 
Zuletzt bearbeitet:
Kannste dies konkreter ausführen betreffend des IE? Müsste eigentlich funktionieren. Haste wirklich alle Schritte komplett durchgeführt?
Alle Schritte? Nachdem die ersten beiden genannten "Massnahmen" nicht gefruchtet haben, hab ich es deinstalliert (war auf dem T61p, wo ich noch Vista drauf hab).
Ging schneller so und hat mir danach kein Windei gelegt.
Im FF war's ja sowieso kein Problem mit dem Deaktivieren der Plugins und den nutze ich als Standardbrowser. Da aber beim Ie immer noch "aktiv" angezeigt wurde, gestern erstmal Radikalkur...:).

Aber scheint sich ja inzwischen was getan zu haben betreffend Update wie ich gerade lese.
 
Hab secunia neu installiert: will nicht recht funzen. Scheint auf ungeupdatetem Java zu bestehen :D
 
Zu Erstens: nein.
Zu Zweitens: nein.
Zu Drittens: such' dir's selber aus. Ist mir eigentlich herzlich egal.

Aber ein schönes Schlusswort. Nachdem der Exploit nun geschlossen wurde, hat sich der Thread erledigt.

Faden zu...
 
!! Java !! neue Sicherheitslücke nach Not-Update

Wie der Forist ian_moone im Kurze-Frage-kurze-Antwort-Thread (http://thinkpad-forum.de/threads/139068-Der-Thread-für-quot-Alles-was-zu-kurz-für-einen-eigenen-Thread-ist-quot?p=1441004&viewfull=1#post1441004) gemeldet hat, eröffnet das JAVA-Notfallupdate von gestern eine neue schwerwiegende Sicherheitslücke.

(Da der entsprechende Thread leider, wie sich herausstellt, zu früh geschlossen wurde, eröffne ich diesen hier, damit die Sache nicht untergeht)

Quelle: http://www.golem.de/news/java-7-upd...e-kritische-sicherheitsluecke-1209-94274.html

Heise meldet noch nichts dazu.

Wie bei den einzelnen Browsern vorzugehen ist, könnt ihr dem Eingangsposting des geschlossenen Threads entnehmen: http://thinkpad-forum.de/threads/14...fügung!?p=1438607&viewfull=1#post1438607nnoch



Sonderfall Internet Explorer

Bitte auch daran denken, dass Windows 7 (für andere Versionen weiss ich das nicht) immer den Internet Explorer installiert und auf ihn im Hintergrund zurückgreift, auch wenn man selbst einen ganz anderen Browser verwendet!

Dieses Mistding lässt sich auch mit Admin-Rechten nicht entfernen (man braucht dazu sog. "Installerrechte", die man nicht hat).

Und, was wirklich unverschämt ist: das olle Ding macht auch keine selbständigen Updates (und lässt sich auch nicht konfigurieren, wenn es unter versteckten Dateien firmiert, weil man es - wie ich - bei der Win7-Installation abgewählt hat. In dem Fall läuft die Suche nach "iexplore.exe" sogar ins Leere)

(Das dürfte der Grund sein, warum die EU-Kommission vor ein paar Monaten ein neues Unterlassungsverfahren gegen Microsoft angestrengt hat: es geht von neuem um das ungefragte Installieren des IE. Ein voriges Verfahren hatte Microsoft schon einmal verloren.

Links dazu hab ich keine parat, und ich hab auch keine Lust, das jetzt zu belegen. Vielleicht macht sich ein anderer die Mühe...)
 
Zuletzt bearbeitet von einem Moderator:
OpenJDK ist nun hoffentlich dicht, gerade eben das Update installiert.

OnTopic: WTF Oracle? :confused:
 
Persönlich benötige ich Java gar nicht auf meinen Linux Rechnern.

Ich finde es nur ärgerlich, dass Helios einfach so einen Fred zudreht, nur weil man ihn einmal mehr in die Schranken weisen wollte mit seiner KIS Sucht.

Ich verfolge solche Themen gerne und bin dann ziemlich verärgert, wenn diese aus persönlichen Gründen einfach dicht gemacht werden!
Da muss man sich seiner moderatoren Rechte auch mal bewusst werden.

Sorry für OT! Mir liegt das aber seit gestern wie ein Stein auf der Brust!

Grüße, Audrey
 
Und, was wirklich unverschämt ist: das olle Ding macht auch keine selbständigen Updates
Das ist nicht zutreffend. Der IE wird wie alle anderen Windows-Bestandteile automatisch gepatcht. Nur Versionsupgrades passieren nicht von alleine.

Wenn man mit der Sicherheitsrisiken von Windows (und den Beeinträchtigungen durch Virenscanner) nicht leben kann, hilft kein Jammern und Wehklagen, sondern nur der Wechsel auf ein anderes System.

@Evilandi666: bei Ubuntu ist noch nix von einem OpenJDK-Update zu sehen.
 
Zuletzt bearbeitet:
Nur Versionsupgrades passieren nicht von alleine.
Vor meinem Clean Install auf SSD hatte sich, wie ich zufällig (!) bemerkte, der, was die Sicherheit anging, fragwürdige IE 8 heimlich installiert. Der liess sich auch nicht auf die Version 9 updaten, weshalb ich lieber zwei IE-Versionen drauf hatte als die eine Nummer 8.

(Ein Clean Install bringt jetzt wenigstens nur noch den IE 9 auf den Rechner, vielleicht im Laufe des riesigen Updates, das man danach von Microsoft zieht oder eingebettet in der ISO für Win7)

In den letzten Tagen hat Windows Update mWn auch keine javaspezifischen Updates geliefert, und wenn doch - ich hatte ein Sicherheitsupdate vorgestern - ohne Hinweis und zu spät. Seit dem sog. Oracle-Patch in der Nacht auf gestern ist auch nichts neues gekommen, bisher
 
Zuletzt bearbeitet:
immer den Internet Explorer installiert und auf ihn im Hintergrund zurückgreift

Naja, den "Internet Explorer" als Anwendungsprogramm (mit allem pipapo) zu löschen bringt nicht viel, weil der eben das COM Objekt "Web Browser" verwendet, was so unentwirrbar in Windows eingebettet ist, dass ich davon ausgehe, dass man das nicht loswerden kann ohne dass Windows und viele andere Anwendungsprogramme sehr sehr unglücklich werden. Und wenn Windows auf das Control zugreifen kann, kann das auch jedes anderes Programm. Dazu braucht es nur ein paar Zeilen Code.

Ich habe hier einen Proxy am Laufen, der den User Agent Header aller ausgehenden Verbindungen mit dem String
Code:
*compatible; MSIE*

abgleicht und bei einem Treffer eine knallrote Warnung produziert. Es ist unglaublich, wie viele Programme sich stickum des "Internet Explorers" bedienen, um Sachen aus dem Internet herunterzuladen.
 
Status
Für weitere Antworten geschlossen.
  • ok1.de
  • thinkstore24.de
  • ok2.de - Notebook Computer Server
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben