Okt:2012: Java Zero-Day-Lücke Win/Mac/Linux - neue Lücke

Status
Für weitere Antworten geschlossen.

ian_moone

Member
Themenstarter
Registriert
29 Dez. 2010
Beiträge
699
Java - Updates und Hinweise zu kritischen Sicherheitslücken Win/Mac/Linux - Update!

Edit by Mornsgrans:
Das Oktober-Update von Oracle brachte keine Besserung. Siehe Beitrag #147

Update 15.01.13:
Die Sicherheitslücke wurde endlich (offensichtlich) geschlossen.
Siehe Beitrag #193

Update 17.01.13:
Neue Lücke entdeckt.
Siehe Beitrag #203


Update 02.02.13:
Neues Update auf 1.7u13
Siehe Beitrag #208


Update 19.02.13:
Weiteres Update auf 1.7u15
Siehe Beitrag #217


-----------------------------------

Update 16.04.13:
Weiteres Update auf 1.7u21
Siehe Beitrag #251


Da ziemlich wichtig, hier nochmal der Hinweis zur Zero-Day-Lücke in Java!

Betroffen sind alle Systeme und alle Browser.


Lösung: Deinstallation von Java oder deaktivieren des Plugins! oder Update! Auf 1.7u21 (siehe unten!)http://www.oracle.com/technetwork/java/javase/downloads/index.html

Die nächsten regülären Java-Updates sieheUpdate-Plan

ZDNet - Alle Betriebssysteme/Browser betroffen - Der Beweis

Heise-Security - BSI warnt vor Java-Lücke



Anleitung zur Deaktivierung des Java-Plugins im jeweiligen Browser:

- bei Chrome/Iron wird JAVA über chrome":"plugins (= : ohne Anführungsstiche!) bzw. chrome://plugins deaktiviert bzw. nach Anleitung

- bei Firefox mit Extras - Addons - Plugins (dort "Java Platform SE...") bzw. nach Anleitung

- bei Opera über opera":"plugins (= : ohne Anführungsstiche!)

- bei Safari nach Anleitung

- bei Internet Explorer nach Anleitung bzw. alternativ unter Solution




Java Update auf 1.7u21 - Release-Notes
 
Zuletzt bearbeitet:
Außerdem: Was bringt es, Java aus dem Internet Explorer zu entfernen, wenn man diesen gar nicht nutzt? Die Lücke ist nicht im IE, die Lücke ist auch nicht in Windows. Die Lücke ist in Java. Und die Lücke kann nur ausgenutzt werden, wenn man eine Internetseite aufruft, die diesen Exploit ausnutzt. Wer den IE nicht startet und damit keine Internetseite aufruft, muss sich auch keine Gedanken machen, wie er Java im IE los wird...
 
cuco: Windows startet und benutzt den IE immer, auch wenn du es nicht tust! Sogar, wenn du glaubst, du hättest ihn gar nicht drauf!
 
Und dann meinst du, dass der IE im Hintergrund einfach mal irgendwelche Websites ansurft und dabei Java ausführt?
 
Mit Microsoft zumindest wird er wohl kommunizieren! Es geht bei solchen Sicherheitslücken nicht um i-w Schmuddelseiten, sondern um gehackte vertrauenswürdige!


(Ich hab mal alle versteckten Dateien sichtbar machen wollen: der IE bleibt unauffindbar.

Erst das hier:

IE.jpg

machte ihn sichtbar. Aufgefallen ist mir die Anwesenheit nur durch CCleaner: dort sind regelmässig ein paar IE-Dateien in der Gelöscht-Liste)
 
Zuletzt bearbeitet:
Eine Suche nach "iexplore.exe" ergibt bei mir das gleiche wie eine nach "iexpl*exe". Hast du vielleicht nach "iexplorer.exe" gesucht?
 
Nein ! Aber iexplore.exe brachte kein Ergebnis, erst durch die Verkürzung kam die Liste zum Vorschein!
 
Zuletzt bearbeitet:
Thread aus gegebenem Anlass wieder eröffnet sowie zusammengeführt. Ebenfalls erneut sticky.

Danke für die Info, Marcus!
 
Zuletzt bearbeitet:
Möchte mal dran erinnern: auch Microsoft-Update ist schon mal gehackt worden.
 
Zuletzt bearbeitet:
Brauche, wie erwähnt, Java für Wuala. Habe es jedoch im IE komplett abgeschaltet (Vorgehensweise siehe frühere Post)... gleiches gilt für den FF.
 
Da ich Java für diverse Dinge benötige, unter anderem ein regelmäßig genutzter Java-Webchat im Netz und das automatische Click-To-Play in Chrome ja wunderbar funktioniert, mache ich mir nicht so wirklich den Kopf darum. Und zur Not findet mein ESET das ganze ja wohl auch, zumindest die letzte Lücke haben sie ja erkannt.
 
hm

ich hab kein Java installiert und CrashPlan läuft trotzdem
Ich bin der Sache gerade nochmal genauer auf den Grund gegangen, weil ich irgendwie nicht glauben wollte, dass sie Crashplan komplett kompilieren. Und tun sie auch nicht. Crashplan bringt selbst Java 6 Update 31 mit in seinem Installationspaket, zu finden in C:\Program Files\CrashPlan\jre
 
Würd ich Java nicht fürs Studium gebrauchen, wäre es schon längst runter vom System. Keine Ahnung warum alle in IT verwandten Ausbildungen/Studiengängen so verpicht auf Java sind.

Wie ein großer finnischer Philosoph namen Torvalds mal sagte:"Java, a horrible Language".

Anfangspost editiert.
 
Hier nochmals eine Alternative zur Ausgangspost, wie Java im IE (und in den restlichen Browsern) manuell zuverlässig deaktiviert werden kann.
 
Hier nochmals eine Alternative zur Ausgangspost, wie Java im IE (und in den restlichen Browsern) manuell zuverlässig deaktiviert werden kann.

Danke für den Hinweis, ist ergänzt.

Ist es denn ein Problem wenn der IE das noch aktiviert hat. Klar Anwendungen nutzen die Systemweiten IE-Einstellungen, aber die Anwendungen gehen ja auf eigene Server. Somit kommt man doch eigentlich garnicht mit den Exploit in Kontakt wenn man den IE so nicht benutzt. Oder überseh ich da etwas? Gut, sicher ist sicher.
 
:thumbup:... zu deiner Frage, kenne mich in diesem Metier zu wenig aus. Jemand anders?
 
Ist es denn ein Problem wenn der IE das noch aktiviert hat. Klar Anwendungen nutzen die Systemweiten IE-Einstellungen, aber die Anwendungen gehen ja auf eigene Server. Somit kommt man doch eigentlich garnicht mit den Exploit in Kontakt wenn man den IE so nicht benutzt. Oder überseh ich da etwas? Gut, sicher ist sicher.
Man kann den Internet Explorer problemlos in eine andere Anwendungen einbetten (auch wenn er "deinstalliert" ist!). Damit könnte man z. B. ein Schadprogramm erstellen, das beim Start einfach über einen eingebetteten IE eine infizierte Seite aufruft und so die Lücke ausnützt. Die eigentliche Seite muss der "Anwender" dabei nicht mal zu Gesicht bekommen und so den Angriff gar nicht merken.
 
@Albic: wenn schon ein Schadprogramm lokal unterwegs ist, braucht es weder den IE noch die Java-Lücke. Dann wäre höchstens ein Root-Exploit interessant.
 
Mich wundert schon etwas, dass Heise bisher kein Wort über die heutige Javaschlamperei gemeldet hat!

Obwohl, ist ja IFA...
 
Zuletzt bearbeitet:
Hab ich mir auch schon gedacht. Benutze Heise eigentlich lieber als Blogs etc.

Aber heute scheinen die zu schlafen...
 
Immer noch nichts Neues von Oracle-Seite, um auf die neue Sicherheitslücke zu reagieren, die das "Sicherheitsupdate" von vorgestern gerissen hat:

oracle_security alerts.jpg

zornig
 
Status
Für weitere Antworten geschlossen.
  • ok1.de
  • thinkstore24.de
  • ok2.de - Notebook Computer Server
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben