Okt:2012: Java Zero-Day-Lücke Win/Mac/Linux - neue Lücke

Status
Für weitere Antworten geschlossen.

ian_moone

Member
Themenstarter
Registriert
29 Dez. 2010
Beiträge
699
Java - Updates und Hinweise zu kritischen Sicherheitslücken Win/Mac/Linux - Update!

Edit by Mornsgrans:
Das Oktober-Update von Oracle brachte keine Besserung. Siehe Beitrag #147

Update 15.01.13:
Die Sicherheitslücke wurde endlich (offensichtlich) geschlossen.
Siehe Beitrag #193

Update 17.01.13:
Neue Lücke entdeckt.
Siehe Beitrag #203


Update 02.02.13:
Neues Update auf 1.7u13
Siehe Beitrag #208


Update 19.02.13:
Weiteres Update auf 1.7u15
Siehe Beitrag #217


-----------------------------------

Update 16.04.13:
Weiteres Update auf 1.7u21
Siehe Beitrag #251


Da ziemlich wichtig, hier nochmal der Hinweis zur Zero-Day-Lücke in Java!

Betroffen sind alle Systeme und alle Browser.


Lösung: Deinstallation von Java oder deaktivieren des Plugins! oder Update! Auf 1.7u21 (siehe unten!)http://www.oracle.com/technetwork/java/javase/downloads/index.html

Die nächsten regülären Java-Updates sieheUpdate-Plan

ZDNet - Alle Betriebssysteme/Browser betroffen - Der Beweis

Heise-Security - BSI warnt vor Java-Lücke



Anleitung zur Deaktivierung des Java-Plugins im jeweiligen Browser:

- bei Chrome/Iron wird JAVA über chrome":"plugins (= : ohne Anführungsstiche!) bzw. chrome://plugins deaktiviert bzw. nach Anleitung

- bei Firefox mit Extras - Addons - Plugins (dort "Java Platform SE...") bzw. nach Anleitung

- bei Opera über opera":"plugins (= : ohne Anführungsstiche!)

- bei Safari nach Anleitung

- bei Internet Explorer nach Anleitung bzw. alternativ unter Solution




Java Update auf 1.7u21 - Release-Notes
 
Zuletzt bearbeitet:
Und gleich noch einen obendrauf:

Hackerszene trojanisiert Fernwartungswerkzeug
Hersteller World Wired Labs preist NetWire als erweiterte Fernwartungssoftware an. Der Server läuft unter Windows, diversen Linux-Varianten, Mac OS X und Solaris, der Client nur auf Windows-PCs. Die Basisversion kostet 65 US-Dollar, die mit Add-ons erweiterbare Pro-Version 105 US-Dollar; den Preis für die Advanced-Version gibts auf Anfrage.
...
In einem Hackerforum wird das Programm ganz anders dargestellt. Da wird hervorgehoben, dass NetWire per Reverse Proxy durch jede Firewall und jeden Router durchkommt, dass es die Kennwörter aller Browser ausliest und der Keylogger ohne Administratorrechte läuft.
Die Antivirenprogrammhersteller stufen nach und nach dieses Tool als Trojaner ein.
 
Aber das bezieht sich nicht nur auf Sophos etc.

Hab ich nie gesagt und auch nicht gemeint - nur, weil jemand mal angefangen hat, Sophos auseinanderzunehmen, heißt das nicht, dass andere besser sind :-)

Dazu gibts auch andere Meinungen. Aber warum nicht einen Schutz benutzen den man "umsonst" bekommt.

Die Antwort hast du selbst verlinkt: Das Antivirus-Zeug ist ein enormer Haufen an proprietärem Code, der mit hohen Privilegien läuft und an dem Unmengen an nicht vertrauenswürdigen Daten vorbeirauschen und der damit neue Angriffsvektoren bietet - siehe dazu die erste Frage in dem "Interview".
 
Sicherlich bietet jegliche neue Software wieder neue Angriffpunkte, allerdings hätte ja Sophos und die anderen wie KIS etc. das Java-Expolit geblockt und daher finde ich es noch sinnig einen minimalen Schutz zu installieren. Zwar schaut man jeden Tag nach bei Heise etc. ob neue Lücken gemeldet werden, nur bringt das nichts wenn Firmen wie Oracle schon seit 2 Monaten davon wissen und nichts dagegen tun bzw. bei ein 0-Day-Exploit.
 
Sicherlich bietet jegliche neue Software wieder neue Angriffpunkte, allerdings hätte ja Sophos und die anderen wie KIS etc. das Java-Expolit geblockt

Sie hätten _eine spezifische Variante_ eines Codes erkannt, der die Sicherheitslücke ausnutzt. Für ein beliebiges Java-Programm zu sagen, ob es sich um ein Exploit für die bekannte Schwachstelle handelt, ist beweisbar unmöglich.

Zwar schaut man jeden Tag nach bei Heise etc. ob neue Lücken gemeldet werden, nur bringt das nichts wenn Firmen wie Oracle schon seit 2 Monaten davon wissen und nichts dagegen tun bzw. bei ein 0-Day-Exploit.

Die Schlangenölhersteller (a.k.a. Virenscannerhersteller) wissen auch nicht früher davon.
 
Also worauf ich mich einlassen kann ist das der Mehrheit der Nutzer eine falsche Sicherheit versprochen wird. Sichere Passwörter, regelmäßige Updates, Backups und das Auseinandersetzen mit den Systemdiensten/funktionen (VNC,Remote etc.) sind weitaus wichtiger.

Allerdings kann ich nicht damit anfreunden das AV-Programme total nutzlos sind. Gerade wenn ich Dateien von fremden Quellen bekomme (Welche man öffnen muss z.B. im Arbeitsumfeld) blockt das AV-Tool mir wenigstens noch irgendwelche Backdoor, Trojaner, Keylogger etc. Programme die bekannt sind.
 
Nach nunmehr 22 Tagen ohne Java muss ich den letzten Satz meines Postings ad absurdum führen. Gibt es irgendwelche Erkenntnisse wann die Lücke geschlossen werden soll bzw.wurde sie schon geschlossen und ich habe es verpennt?
Na ja, Java gehört ja jetzt zu Oracle, und nach meiner Erfahrung mit Sicherheitslücken bei Oracle-Datenbanken kann das schon dauern...
 
So wie ich das in Erinnerung habe werden die Lücken erst mit den nächsten regulären Update geschlossen, d.h. am 16.10.2012.
 
Warte schon dringend darauf :rolleyes:. Danke für die Info, Ian. Bis jetzt ist noch nichts ersichtlich. Immer noch Update 7 vorhanden.
 
Warte auch schon den ganzen Tag... Habe eigentlich auf 19 Uhr gehofft wie bei den Windows Updates, aber bisher ist Oracle einfach ein bischen langsam...

Hab mir sogar extra den Oracle Security Newsletter bestellt.
 
Zuletzt bearbeitet:
Habe sie Seite offen und bin wie wild am F5-Drücken :D. Alternativ im Downloadbereich auf ComputerBase nachgucken. Die sind meistens auch richtig schnell, wenn es um Softwareaktualisierungen geht (mal abgesehen von Firefox... da hinken sie rund einen bis zwei Tage hinterher).
 
Nein Morns... dies war schon vorher so. ComputerBase begreift nicht, dass folgender Server der offizielle Mozilla Release-Server ist und warten, bis die Versionen auf allen anderen Servern synchronisiert werden. Hatte schon einige Debatten mit dem Chef des Downloadbereichs von ComputerBase über dieses Thema. Aber lassen wir es gut sein... wer es nicht begreifen mag, ist eben selber Schuld.
 
Endlich hab fast schon nicht mehr daran geglaubt.

1.Beitrag wurde editiert.
 
Status
Für weitere Antworten geschlossen.
  • ok1.de
  • thinkstore24.de
  • ok2.de - Notebook Computer Server
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben