Okt:2012: Java Zero-Day-Lücke Win/Mac/Linux - neue Lücke

[ian_moone]

Java - Updates und Hinweise zu kritischen Sicherheitslücken Win/Mac/Linux - Update!

Edit by Mornsgrans:
Das Oktober-Update von Oracle brachte keine Besserung. Siehe Beitrag #147

Update 15.01.13:
Die Sicherheitslücke wurde endlich (offensichtlich) geschlossen.
Siehe Beitrag #193

Update 17.01.13:
Neue Lücke entdeckt.
Siehe Beitrag #203


Update 02.02.13:
Neues Update auf 1.7u13
Siehe Beitrag #208


Update 19.02.13:
Weiteres Update auf 1.7u15
Siehe Beitrag #217


-----------------------------------

Update 16.04.13:
Weiteres Update auf 1.7u21
Siehe Beitrag #251


Da ziemlich wichtig, hier nochmal der Hinweis zur Zero-Day-Lücke in Java!

Betroffen sind alle Systeme und alle Browser.


Lösung: Deinstallation von Java oder deaktivieren des Plugins! oder Update! Auf 1.7u21 (siehe unten!)http://www.oracle.com/technetwork/java/javase/downloads/index.html

Die nächsten regülären Java-Updates sieheUpdate-Plan

ZDNet - Alle Betriebssysteme/Browser betroffen - Der Beweis

Heise-Security - BSI warnt vor Java-Lücke



Anleitung zur Deaktivierung des Java-Plugins im jeweiligen Browser:

- bei Chrome/Iron wird JAVA über chrome":"plugins (= : ohne Anführungsstiche!) bzw. chrome://plugins deaktiviert bzw. nach Anleitung

- bei Firefox mit Extras - Addons - Plugins (dort "Java Platform SE...") bzw. nach Anleitung

- bei Opera über opera":"plugins (= : ohne Anführungsstiche!)

- bei Safari nach Anleitung

- bei Internet Explorer nach Anleitung bzw. alternativ unter Solution




Java Update auf 1.7u21 - Release-Notes

 

[ian_moone]

Puh das hab ich aber verpennt. Habe das Update erst heute über Heise entdeckt.

Eingangspost ist angepasst. Es soll neue Sicherheitsfunkt. Bzgl. Applets geben. Leider weiß ich nicht ob die Sicherheitslücken gestoppft wurden.

 

[Helios]

Erst nach fünf Tagen entdeckt? Schäm dich, Ian .

 

[ian_moone]

Jaja Asche auf mein Haupt

Ich glaube ich bin auf den falschen Seiten unterwegs, Heise wird auch immer langsamer...obwohl ich sogar Heise Security bei Twitter folge. Und das Forum kann ich im Moment wegen Klausurstress auch nicht mehr so tiefgründig verfolgen

Merkwürdig nur das sich selbst der Oracle Security Newsletter nicht meldet... Naja Oracle halt

 

[ian_moone]

So es scheint leider nicht vorbei zu sein:

Java 0-Day Lücke wird bereits ausgenutzt (auch Java 1.7u10 betroffen)

Also bleibt der allgemeine Tipp: Java-Plugin deinstallieren/deaktivieren

Edit: Hier noch die Medlung von Heise Security

 

[Helios]

Finde folgende Methode zur Abschaltung des Java-Plugins in bestimmten Browsern und speziell im Internet Explorer immer noch die Eleganteste und Einfachste:

How to Unplug Java from the Browser

P.S.: Wird die Java-Anwendung geöffnet, lassen sich unter dem Reiter "Sicherheit" sämtliche Browser Plug-Ins deaktivieren (Neustart der Browser sind erforderlich) und Java lässt sich ausschliesslich nur noch lokal benutzen (da ich Wuala verwende, ist dies bspw. von Nöten). Und weiter habe ich mich gleich doppelt abgesichert und bin wie bis dato nach obiger Anleitung vorgegangen.

 

[linrunner]

Auch das BSI hat sich jetzt geäußert: http://www.heise.de/newsticker/meldung/BSI-empfiehlt-Deinstallation-von-Java-1782352.html

 

[ian_moone]

Welches Unternehmen mich im Bezug auf Java positiv überrascht hat ist die DEPost AG. Die haben doch tatsächlich Java aus den Onlinefrankier-Dienst geworfen. Die Paketmarken bekommt man jetzt einfach als PDF zum Download angeboten.

Dafür mal, man will es kaum glauben, ein dickes Lob an die Deutsche Post/DHL!!!

 

[linrunner]

Ein Patch soll kommen ... irgendwann ...

 

[Helios]

Java 7 Update 11 (x86/x64) steht offiziell zum Download bereit.

Changelog

 

[Helios]

Update 14.01.2013 10:11 Uhr

Oracle teilte der Nachrichtenagentur Reuters mit, man werde kurzfristig einen Patch für die 0-Day-Lücke in Java 7 zur Verfügung stellen, ohne dabei ein Datum zu nennen. Wie der Sicherheitsexperte Adam Gowdiak von Security Explorations Oracle jetzt vorwirft, entstand die jetzige Lücke durch eine unvollständig geschlossene Lücke im Java-Code vom Oktober 2012. Laut Gowdiak hat er allerdings auch bereits einen Fix für die neue Lücke an Oracle gesandt.

Quelle: ComputerBase.de -Schwere Sicherheitslücke in Oracle Java 7 (Update 2)

 

[elensar]

Mir reicht es nun.

Java ist gerade von allen Rechnern geflogen.

Konnte diese Sprache eh noch nie leiden!!!

 

[cuco]

Quelle: ComputerBase.de -Schwere Sicherheitslücke in Oracle Java 7 (Update 2)

Ist nochmal aktualisiert worden, da ja mit Update 11 das Ding geschlossen wurde.

[h=2]Update 14.01.2013 10:35 Uhr[/h]Oracle hat die schwere Lücke in Java 7 durch Update 11 außerhalb des morgigen Oracle-Patchday geschlossen. Weiterhin wird ab sofort das Sicherheits-Level für unsignierte Java-Web-Apps von mittel auf hoch gesetzt. Damit werden solche Web-Apps nur noch nach einer Nachfrage auf Bestätigung des Nutzers ausgeführt. Ein sofortiges Update ist dringend empfohlen.

 

[Helios]

Aha... dies tönt ja schon mal ganz beruhigend. Danke für das Update.

P.S.: ComputerBase.de hätte da ruhig ein Update 3 daraus machen können, anstatt Update 2 nach ein paar Minuten zu revidieren.

 

[Helios]

Nachdem sich das Thema (zumindest vorerst) erledigt hat, könnte es vom Modus sticky entfernt werden. Ausserdem schlage ich vor, den Threadtitel entsprechend anzupassen.

LG Uwe

 

[Mornsgrans]

Wir lassen den Thread noch vorläufig sticky, damit die anderen User sehen können, dass das Problem scheinbar gelöst wurde.

 

[Helios]

Ohne Worte :facepalm: (Thread-Titel kann wohl erneut geändert werden):

Update 16.01.2013 14:11 Uhr

Während in Deutschland das BSI seine Warnung wegen der Lücke in Java mittlerweile zurückgezogen hat, hält die amerkanische Behörde für Computersicherheit US-Cert ihre Warnung vor dem Java-Browser-Plug-in aufrecht. Einerseits ist man dort der Ansicht, das Plug-in solle grundsätzlich deaktiviert sein, andererseits ist ein Bericht der Sicherheitsforscher der Firma Immunity veröffentlicht worden, der behauptet, Oracle habe mit dem Patch am Wochenende lediglich eine von zwei Lücken geschlossen. Sobald ein neuer Exploit auftaucht, würde die Lücke weiter ausgenutzt.

Quelle: ComputerBase -Schwere Sicherheitslücke in Oracle Java 7 (Update 3)

 

[Head]

Naja, Lücken gibt es überall, nur wird auf Java ordentlich rumgehackt.
Momentan ist es erstmal nur ein Bericht einer Firma, die etwas behauptet und solange das nicht bestätigt ist, sollte man einen kühlen Kopf bewahren.

Firefox, Windows, MacOS und Co haben alle Sicherheitsprobleme, mal mehr, mal weniger. Sicherlich traurig, wie lange es hier gedauert hat, aber hey, wayne?!
Die meisten User gehen so unbesorgt mit dem Netz um, wen interesssiert da eine Lücke in Java, die unter ganz bestimmen Umständen (!!!) ausgenutzt werden kann.

Aber sobald der Nutzer Möpse sieht klickt er auch mit deaktiviertem Java (und Hirn) darauf

Lassen wir die Kirche im Dorf.

 

[Helios]

Naja, Lücken gibt es überall, nur wird auf Java ordentlich rumgehackt.

Und dies mit sehr gutem Grunde. Selbst habe ich Java in den Browsern deaktiviert und nutze es nur lokal. Ausserdem besitzt meine Sicherheitslösung einen entsprechenden Exploitschutz, welcher eben diesen (und auch andere) permanent kontrolliert.

Teile deine Ansicht hinsichtlich der Unbeschwertheit des Surfverhaltens der User generell nicht. Auf einem Produktivsystem, welches sensitive Daten enthält, sollten auch entsprechende Vorkehrungen getroffen werden.

 

[Head]

Ich kann die Argumente absolut verstehen, aber die Sensationslust bezüglich der Java-Lücken nur nicht.
Windows, MacOS und auch halbgare Linuxinstallationen sind oft unsicher, und dann scheitert es auch bei den Usern, wobei das nicht unbedingt ein Vorwurf sein soll.
Es gibt so viele Sicherheitslücken, so viele unbedarfte User, das zwar für Sicherheitsexperten solche News interessant sein dürfte, aber 95% der typischen Inetuser weder ein aktuelles Java haben, noch sich intensiv um die Sicherheit Ihres Systems kümmern.

Produktivsysteme müssen aber auch Produktiv sein und auf Java kann man nicht immer verzichten.
BSI warnt? Hmm, ok, dann halt keine Steuererklärung, oder doch lieber machen?!

Aber nichts für ungut, wie gesagt, kann nur die Schlagzeilen nicht nachvollziehen. Lücken sind heutzutage Standard bei der Komplexität moderner Technik, auch wenn nicht wünschenswert.

Grüße

 

[Helios]

Zugegeben, jedoch stellt gerade Java für mich ein Paradigma an Unfähigkeit betreffend Sicherheitsprobleme seitens Oracle dar. Seit Monaten sind die Sicherheitslücken bekannt, der entsprechende Schadcode ist überall im Internet zu finden, und dennoch reagiert Oracle nicht auf die entsprechenden Hinweise von Sicherheitsfirmen etc. Für mich ein Ding der Unmöglichkeit.

Selbst halte ich meine Software stets auf dem neusten Stand. Für mich persönlich selbstverständlich.

LG Uwe