Okt:2012: Java Zero-Day-Lücke Win/Mac/Linux - neue Lücke

[Danton]

Zum Glück brauche ich Java im Browser nicht wirklich.
Aber das ist doch echt unglaublich, diese Sicherheitslücke ein halbes Jahr lang im System zu lassen? Würde das Microsoft machen, ich weiß nicht, wie lange das entsprechende Produkt noch auf dem Markt wäre.

 

[Gummiente]

Das Problem ist nicht Java selbst, sondern die Integration in den Webbrowser in Form von Java-Applets.

Ich verstehe durchaus, dass das einen gewissen Charm hat und in einer idealen Welt würde man wohl versuchen alles so umzustellen.

In der realen Welt sehen wir aber, dass das weniger als suboptimal funktioniert. Bei Flash hat Adobe ein Einsehen gehabt und die Reissleine gezogen aber bei Java scheint man weiterhin den Sieb zum Eimer umfunktionieren zu wollen.

Warum also weiterhin an der Idee festhalten beliebige Programme aus beliebigen Quellen auf jedem Rechner mit einem Browser laufen zu lassen wenn keine Hoffnung besteht die JVM jemals "sicher" zu bekommen?

 

[Ede_123]

Warum also weiterhin an der Idee festhalten beliebige Programme aus beliebigen Quellen auf jedem Rechner mit einem Browser laufen zu lassen wenn keine Hoffnung besteht die JVM jemals "sicher" zu bekommen?

Die Idee an sich ist nicht verkehrt, an der Umsetzung muss man arbeiten!

So wie es z.B. Firefox und Chrome mit "Click to Play" vormachen. Wenn ein Java-Applet erst dann ausgeführt wird, wenn ich dieses explizit aktiviere, dann bin ich sicher vor jeder Schadsoftware, die mir eine Website unterjubeln möchte.

Was hingegen gar nicht geht ist, was sich Microsoft mit dem IE leistet. Ein Plugin muss mit einem Klick zu deaktivieren sein, einfach und von jedem Laien bedienbar.

 

[DigitalFlow]

Habe auf Windows 8 den Internet Explorer in Gebrauch, von Java sehe ich nirgends etwas stehen, muss ich trotzdem irgendwas deinstallieren oder deaktivieren? Und wie verhält sich das ganze unter Ubuntu 12.10 in Firefox? Sehe da auch nirgends ein Java Plugin? Wo musste man nochmal diese Kompatibilitätsansicht im IE anschalten, damit Absätze hier im Forum gehen? -.-

 

[Mornsgrans]

Klicke im Editor auf und Du hast einen anständigen Editor

 

[MarcusAgrippa]

Der Java-Bug soll nicht für Windows 8 und IE 10 (?) gelten, hiess es

 

[DigitalFlow]

Vielen Dank für den Editor Tip
Also laut dem Hilfe Reiter im Internet Explorer handelt es sich um Version 10, von einem Java Plugin/einer Java Erweiterung kann ich weder im Internet Explorer unter Windows 8, noch im Firefox 16.0.1 unter Ubuntu 12.04 etwas finden, hätte man das Java Plugin erst von Hand installieren müssen, bevor es überhaupt auf dem System ist?

 

[ian_moone]

Wenn du das JavaRE in 64bit installiert hast wird da nichts zu finden sein. Installierst du Java in 32bit erscheint automatisch das Plugin.

 

[DigitalFlow]

Bedeutet "nichts zu finden sein", dass es nicht installiert ist, oder dass es installiert ist, aber nicht angzeigt wird?

 

[MarcusAgrippa]

Schau doch mal in die Systemsteuerung. In Win7 hat dort Java, wenn es installiert ist, ein eigenes Icon etc. Vi ist es in Win8 ja ähnlich...

 

[DigitalFlow]

In meiner Systemsteuerung ist davon nichts zu sehen, ich gehe also davon aus, dass nichts derartiges installiert ist.

 

[Gummiente]

Hast du bei www.java.com geschaut? Da gibt es einen Link "Habe ich Java bereits?" Wenn die Seite keine lauffähige Java findet werden die potenziellen Schädlinge auch keine finden.

 

[DigitalFlow]

Vielen Dank für den Link
Windows 8 hat also kein Java standardmäßig an Bord, er findet nichts bei mir

 

[MarcusAgrippa]

Wie gesagt, die Sicherheitslücken betreffen nicht Windows 8 und IE 10

 

[MarcusAgrippa]

Oracle verarscht doch die Welt!

"Sicherheitsforscher patcht Java im Selbstversuch" http://www.heise.de/newsticker/meldung/Sicherheitsforscher-patcht-Java-im-Selbstversuch-1735009.html

 

[fabio]

Ja, den hab ich auch grad gelesen.

 

[ian_moone]

Mittlerweile glaube ich das Oracle garnicht weiß was sie da überhaupt mit Java haben...

25 Zeichen Code, selbst wenn es mehr wären und noch weitere Probleme auftauchen würden, das müsste Oracle innerhalb einer Woche gepatcht haben und nicht innerhalb eines 1/2 Jahres.

Wenn die auch so mit ihren DB umgehen...

 

[Mornsgrans]

Arroganz eines alteingesessenen wasserköpfigen Unternehmens mit der Grundeinstellung: "Die paar User, die wir dadurch vielleicht verlieren, tun uns nicht weh. - Dafür ist Java einfach in zu vielen Bereichen etabliert"

Hoffentlich fallen sie auf den Bauch damit!

 

[fabio]

Ja, ich bin auch schon am überlegen, ob ich mich von meiner IDE verabschieden soll. Das einzige was ich auf Java-Basis nutze (soviel ich weiß).

Apropos, wie ist es jetzt eigentlich mit OpenJDK, ist da die Lücke auch noch offen?

 

[Helios]

Java 7 Update 10 (x86/x64) steht offiziell zum Download bereit.

Dieses Build müsste die bekannten Sicherheitslücken beheben (mit Vorbehalt). Falls dies jemand austesten möchte, wäre interessiert .

Addendum: Release Notes