Okt:2012: Java Zero-Day-Lücke Win/Mac/Linux - neue Lücke

[ian_moone]

Java - Updates und Hinweise zu kritischen Sicherheitslücken Win/Mac/Linux - Update!

Edit by Mornsgrans:
Das Oktober-Update von Oracle brachte keine Besserung. Siehe Beitrag #147

Update 15.01.13:
Die Sicherheitslücke wurde endlich (offensichtlich) geschlossen.
Siehe Beitrag #193

Update 17.01.13:
Neue Lücke entdeckt.
Siehe Beitrag #203


Update 02.02.13:
Neues Update auf 1.7u13
Siehe Beitrag #208


Update 19.02.13:
Weiteres Update auf 1.7u15
Siehe Beitrag #217


-----------------------------------

Update 16.04.13:
Weiteres Update auf 1.7u21
Siehe Beitrag #251


Da ziemlich wichtig, hier nochmal der Hinweis zur Zero-Day-Lücke in Java!

Betroffen sind alle Systeme und alle Browser.


Lösung: Deinstallation von Java oder deaktivieren des Plugins! oder Update! Auf 1.7u21 (siehe unten!)http://www.oracle.com/technetwork/java/javase/downloads/index.html

Die nächsten regülären Java-Updates sieheUpdate-Plan

ZDNet - Alle Betriebssysteme/Browser betroffen - Der Beweis

Heise-Security - BSI warnt vor Java-Lücke



Anleitung zur Deaktivierung des Java-Plugins im jeweiligen Browser:

- bei Chrome/Iron wird JAVA über chrome":"plugins (= : ohne Anführungsstiche!) bzw. chrome://plugins deaktiviert bzw. nach Anleitung

- bei Firefox mit Extras - Addons - Plugins (dort "Java Platform SE...") bzw. nach Anleitung

- bei Opera über opera":"plugins (= : ohne Anführungsstiche!)

- bei Safari nach Anleitung

- bei Internet Explorer nach Anleitung bzw. alternativ unter Solution




Java Update auf 1.7u21 - Release-Notes

 

[Evilandi666]

Unter Linux (sofern ich das richtige sehe) nur Oracle JRE, kein OpenJDK (IcedTea Plugin) (was seit Entzug der Auslieferungslizens seitens Oracle größtenteils Standard sein sollte).

Information ist schon seit Montag bekannt (und auch der Exploit ist seit da draußen).

Click-to-play (sofern aktiviert, kann man nur anraten!) schützt einen aber wohl zuverlässig (zumindest unter Chromium/Chrome, FF weiß ich nicht). Zusätzlich noch NoScript (FF) bzw. ScriptNo (Chromium/Chrome) und man ist "relativ" sicher unterwegs.

Edit: Vermutlich doch auch OpenJDK .. siehe unten.

 

[fabio]

Unter Linux (sofern ich das richtige sehe) nur Oracle JRE, kein OpenJDK (IcedTea Plugin)

Das wäre interessant mal genauer zu erfahren. Darüber habe ich mir nämlich auch Gedanken gemacht.

 

[Evilandi666]

Das wäre interessant mal genauer zu erfahren. Darüber habe ich mir nämlich auch Gedanken gemacht.

Also bisher haben alle Quellen nur von Oracle's JRE gesprochen, es gab irgendwo ein Bugreport wo das explizit sogar so drin stand (dass OpenJDK nicht betroffen ist) .. finde aber den Link nicht mehr
(meine es war irgendwo im Mozilla Umfeld)


Edit: Vermutlich doch auch OpenJDK .. siehe unten.

 

[fabio]

Wäre auf jeden Fall cool Danke. Falls du den Link noch findest kannst du ihn ja posten.

 

[Evilandi666]

Ich hatte nur noch ...zilla im Kopf, in Wirklichkeit war der Link von Redhats Bugzilla Bugtracker.

Von dort:

Code execution was confirmed with the latest Oracle and IBM Java 7 web browser plugin. IcedTea-Web using OpenJDK7 blocks this exploit by not allowing applet to change the SecurityManager (which is allowed in Oracle and IBM Java plugin).

Java 6 is currently not known to be affected.

Andererseits weiter unten (offizielleres Statement?):

Red Hat has tested the flaw and confirmed that it affects Java SE 7 provided by OpenJDK 7 (java-1.7.0-openjdk), Oracle Java SE 7 (java-1.7.0-oracle) and IBM Java SE 7 (java-1.7.0-ibm) as shipped with Red Hat Enterprise Linux 6. This flaw does not affect any prior versions of Java, including those shipped with Red Hat Enterprise Linux 4 and 5. Red Hat is aware that public exploits for this issue are available. We will ship updates to resolve this flaw as soon as patches are available for the affected versions of Java.

https://access.redhat.com/knowledge/articles/197363
https://access.redhat.com/security/cve/CVE-2012-4681

Man weiß es nicht genau .. lieber mal ausknipsen.

 

[fabio]

Ok, danke. Das heißt unter Ubuntu dann wohl OpenJDK zu deinstallieren? Im Firefox hab ich kein Ad-On das ich deaktivieren könnte. Das wäre natürlich schade, weil auch einige Anwendungen darauf angewiesen sind.

 

[cuco]

Gibt es irgendwo eine "Testseite"? Also die diesen Hack nutzt, ohne Schaden anzurichten, so dass man testen kann, ob das eigene System dafür anfällig ist? Mich würde mal interessieren, ob z.B. Sicherheitssuiten drauf anspringen könnten und das blocken?

 

[linrunner]

Im Firefox hab ich kein Ad-On das ich deaktivieren könnte

Klar doch: im Reiter "Plugins" das "IcedTea-Plugin".

 

[floppy]

Gibt es irgendwo eine "Testseite"? Also die diesen Hack nutzt, ohne Schaden anzurichten, so dass man testen kann, ob das eigene System dafür anfällig ist? Mich würde mal interessieren, ob z.B. Sicherheitssuiten drauf anspringen könnten und das blocken?

http://www.heise.de/newsticker/meldung/BSI-warnt-vor-hochkritischer-Java-Luecke-1677249.html

So richtig funktionierts bei mir aber trotzdem nicht. Das "IcedTea"-Plugin habe ich deaktiviert, trotzdem warnt die Testseite von heise vor aktiviertem Java. Was könnte denn noch mit Java zusammenhängen? Ich bin verwirrt...

 

[yatpu]

bei mir funktioniert das abschalten des icedtea-plugins in opera, ff und chromium.

@ floppy:
etwas weiter unten zeigt dir die seite, welche java-version dein browser benutzt.

 

[wileE]

Java ausknipsen unter Opera

opera: ins Adressfeld eintippen
opera: plugins im Menü auswählen
Java Deployment Toolkit & Java Platform Plugins deaktivieren

 

[floppy]

Nach dem update von heise und einem update von ubuntu hats geklappt. Yuhu!

 

[Da_Andy]

Über chrome/plugins kann ich kein Java sehen, das kann ich auch also nicht deaktivieren!
Heise zeigt mir jedoch java wäre aktiv, sehr seltsam!

 

[MarcusAgrippa]

Über chrome/plugins kann ich kein Java sehen, das kann ich auch also nicht deaktivieren!

Mit "chromeDoppelpunktplugins" kommt man sehr wohl auf die Konfigurationsseite, auf der man die einzelnen Plugins aktivieren oder deaktivieren kann! (Doppelpunkt ist hier ausgeschrieben, da im Posting sonst aus Doppelpunkt+p das Smiley entsteht)

Wenn man (jedenfalls in Win7) in der Systemsteuerung > Java die Deaktivierung vornimmt und neustartet, sind in Chrome/Iron und Opera Java die Java-Plugins von vornherein deaktiviert. Gilt sicherlich für andere Browser auch...?...oder?

 

[Ede_123]

Unter Firefox lässt sich das Problem auch lösen ohne Java komplett zu deaktivieren:

Unter about:config die Einstellung "plugins.click_to_play" auf "true" setzen.
Damit wird "click to play" aktiviert, d.h. ihr müsst den jeweiligen Plugin-Inhalt explizit anklicken, damit er geladen wird.

Leider scheint das für alle Plugins gleichzeitig aktiviert zu werden, mir persönlich wäre es lieber, wenn ich das z.B. nur für Java aktivieren könnte (Flash braucht man z.B. regelmäig, Java eher selten). Falls jemand eine Lösung kennt, dann her damit!

 

[ThinkBrett]

EDIT: Hier steht Müll, um die Logik zu wahren, bitte habe ich zwei Beiträge weiter geschrieben, warum...

Mhh...das scheint ein echtes Problem zu sein, ohne Java kann ich unter Win7/FF15 nicht mehr skalieren mit Strg und "+" bzw. dem Scrollrad...

Das ist bei hochauflösenden Displays absoluter Müll....

 

[MarcusAgrippa]

Man kann für jede Seite gesonderte Regeln aufstellen.

(Wär mir aber erstens zu umständlich, und zweitens lasse ich den Browser beim Schliessen alles löschen, was sich angesammelt hat. Ich nehme an, die seitenspezifischen Regeln würden dabei auch immer gleich mitgelöscht...)

ohne Java kann ich unter Win7/FF15 nicht mehr skalieren mit Shift und "+" bzw. dem Scrollrad...

Hilft dir natürlich nicht, aber in Opera und Win7 geht es wie immer

 

[MarcusAgrippa]

doppelpost

 

[ThinkBrett]

Also die Skalierung funktioniert bei mir nach einem Neustart wieder mit Strg und "+" bzw. Scrollrad
Marcus hat im vorhergehenden Beitrag die unbearbeitete Version meines Beitrages zitiert, da heißt die Tastenkombination FÄLSCHLICHERWEISE noch Shift und "+"..

Ich habe soeben auch festgestellt, dass ich offenbar nur JAVA 6 Update 33 (lt. WIN7 Programme und Funktionen) installiert habe.

Also Gesamtbeitrag fragwürdig ->Rubbish! Muss erst das System und den Gesamtkontext checken!