Thema: Java ...

[ritschibie]

Danke Theos, das bringt mich schon weiter!  
Ich habe es mal so gemacht, weil ohne Javascript das posten mit Bildern, etc. hier nicht geht (jedenfalls bei mir nicht) und es schon sehr anstrengend ist, beim "normalen" lesen das Ganze auszustellen und dann beim posten wieder anzumachen.

Ritchie

[Jürgen]

Theo hat recht, 1A erklärt.

java ganz deinstallieren ist auch ein möglichkeit, wobei halt schon berücksichtigt werden sollte, dass es doch eine vielzahl an programmen gibt, die darauf aufbauen. viele (die größeren) liefern ein JRE mit, viele open-source programme jedoch nicht.

Und selbst wenn, sollte man sich dessen bewusst sein, dass ein Update z.B. von OpenOffice nicht automatisch auch das JRE mit pflegt, ebensowenig umgekehrt.
Aber viele Funktionen von oO setzen Java voraus, weshalb das auch bei der Installation obligatorisch ist.
LibreOffice verlangt Java nicht, aber eventuell laufen dann auch wieder nicht alle Funktionalitäten.

Wer also Java auf dem Rechner installiert, sollte das bewusst tun und mindestens regelmäßig händisch updaten, zumal so auch versehentliche Mit-Installationen lästiger bis schädlicher Toolbars am sichersten zu vermeiden sind.

Ich will jetzt nicht darüber spekulieren, wie oft noch die Herrschaft über Java wechseln wird, aber wir wissen ja, dass jeder solcher Wechsel neue Risiken für die Nutzer birgt, zusätzlich zu den immer wieder bekannt werdenden Sicherheitslücken...

Jürgen

[SiLæncer]

Oracle weiß angeblich seit über vier Monaten von der kritischen Java-Schwachstelle, die bereits aktiv für Angriffe ausgenutzt wird – hat aber immer noch nicht reagiert. Dafür gibt immerhin Microsoft mittlerweile Tipps zum Schutz vor Infektionen – aber die funktionieren nicht.

Auf der Security-Mailingliste Bugtaq berichtet der Forscher Gowdiak, dass seine Firma Security Explorations im Rahmen eines Forschungsprojekts zahlreiche Lücken in Java entdeckt und im April dieses Jahres vertraulich an den Hersteller gemeldet hat. Unter den gemeldeten Schwachstellen sollen sich auch die beiden befinden, die der jüngst aufgetauchte Exploit zum Abschalten der Java-Sandbox ausnutzt.

Nach eigenen Angaben des Forschers hat er Oracle sogar das Abschalten der Sandbox mit einem Proof-of-Concept demonstriert. Gowdiak hat zuletzt am 23. August einen Statusbericht von dem Unternehmen bekommen, laut dem 19 der 25 noch ungepatchten Lücken bereits intern im Quellcode geschlossen wurden – einschließlich der beiden, die jetzt aktiv ausgenutzt werden. Planmäßig würden diese Änderungen frühestens am nächsten Critical Patch Update (CPU) am 16. Oktober in die downloadbare Java-Version übernommen.

Der ganze Artikel

Quelle : www.heise.de

[Theos]

Wer also Java auf dem Rechner installiert, sollte das bewusst tun und mindestens regelmäßig händisch updaten, zumal so auch versehentliche Mit-Installationen lästiger bis schädlicher Toolbars am sichersten zu vermeiden sind.

zumal auch nur die 32bit version automatisch aktualisiert wird.
bei der 64bit version musste ich mich bislang immer selbst darum kümmern.

[SiLæncer]

Oracle hat soeben kommentarlos die Java-Version 7 Update 7 herausgegeben, die offenbar eine hochkritische Schwachstelle beheben soll, welche bereits aktiv für Angriffe ausgenutzt wird. Der dazugehörige Security Alert auf der Herstellerseite war am heutigen Donnerstagabend noch leer, ein erster Test von heise Security zeigte jedoch, dass der Exploit in seiner bekannten Form nach dem Update tatsächlich blockiert wird. Auch eine von uns abgewandelte Exploit-Version wurde rechtzeitig gestoppt.

Wer Java auf seinem System installiert hat, sollte die neue Java-Version umgehend installieren. Das Sicherheitsproblem existiert in Java 7 bis einschließlich Update 6 in Verbindung mit allen unterstützen Betriebssystemen und Browsern. Durch die Schwachstelle kann ein Angreifer die Kontrolle über den Rechner übernehmen und etwa Schadcode installieren, wenn man eine präparierte Webseite ansurft.

[SiLæncer]

Nicht einmal die Hälfte von 22 untersuchten Antivirenprogrammen schützt vor dem derzeit kursierenden Exploit, der eine hochkritische Schwachstelle in der Java-Version 7 Update 6 ausnutzt. Das kam bei einer im Auftrag von heise Security durchgeführten Analyse des Testlabors AV-Comparatives heraus.

Wir haben zwei Versionen des Exploits getestet: Erstens eine Basisversion, die im Wesentlichen auf dem veröffentlichten Proof-of-Concept beruhte und statt dem Taschenrechner das Notepad gestartet hat. Die zweite Variante haben wir um eine Download-Routine ergänzt, die eine EXE-Datei aus dem Internet auf die Platte schreibt. Als Testsystem kam Windows XP zum Einsatz, auf dem außer im Fall von Avast, Microsoft und Panda die Security-Suiten installiert waren.

Von den 22 Testkandidaten konnten nur 9 die beiden Exploit-Variationen blockieren (Avast Free, AVG, Avira, ESET, G Data, Kaspersky, PC Tools, Sophos und Symantec). Gepatzt haben hingeben 12 Virenwächter (AhnLab, Bitdefender, BullGuard, eScan, F-Secure, Fortinet, GFI-Vipre, Ikarus, McAfee, Panda Cloud Antivirus. Trend Micro und Webroot). Microsofts kostenlose Security Essentials konnten zumindest die Basisversion des Exploits stoppen.

Bei den Ergebnissen ist zu beachten, dass sie eine Momentaufnahme vom 30. August um 13 Uhr sind und keine Rückschlüsse auf die Gesamtqualität der Virenschutzprogramme erlauben. Die getestete Java-Version war zu diesem Zeitpunkt aktuell, der Exploit-Code bereits seit mehreren Tagen im Umlauf.

Die Ergebnisse zeigen, dass man sich beim Schutz seines Systems nicht allein auf den Virenwächter verlassen darf. Auch die installierten Anwendungen und Plug-ins müssen gepflegt werden, damit sie Schädlingen keine Schlupflöcher bieten. Die kritische Java-Lücke hat Oracle allem Anschein nach am Donnerstagabend mit der Java-Version 7 Update 7 geschlossen. Wer Java auf seinem System installiert hat, sollte das Update umgehend einspielen.

Man kann davon ausgehen, dass sich der Exploit im Waffenarsenal der Cyber-Ganoven noch einige Jahre größter Beliebtheit erfreuen wird, da er plattformübergreifend funktioniert und sehr zuverlässig ist. Wie zuverlässig er ist, zeigt ein Blick in die Statistik einer Installation des BlackHole-Angriffsbaukastens: Durch den Einbau des Exploits beträgt die Erfolgsquote der Java-Exploits 75 bis 99 Prozent. Insgesamt konnte BlackHole jeden vierten Rechner infizieren – üblicherweise klappt das nur in einem von zehn Fällen.

Quelle : www.heise.de

[dvb_ss2]

Da wir gerade beim Thema sind:

Ich habe gerade mal nach einer Liste von Programmen gesucht, die
a) in Java programmiert sind oder
b) Java für bestimmte Zwecke benötigen (z.B.LibreOffice/OpenOffice)

So wirklich fündig wurde ich dabei nicht.

Kennt hier jemand eine Liste mit den "gängigsten" bzw. "bekanntesten" Programme, die in irgendeiner Form Java benötigen?

dvb_ss2

[SiLæncer]

Spontan fallen mir da ProjectX, TVBrowser... die Mediathek und z.B. RSSOwl ein

[dvb_ss2]

Mir fallen da natürlich auch einige Programme ein, aber manche vllt. auch nicht?!?

- LibreOffice/Apache OpenOffice
- jAlbum (im Prinzip alle Programme die jProgramm heissen oder auch Programmj)
- FreeMind
- Jameica/Hibiscus (Onlinebanking) und weitere Plugins
- AVCHDCoder
- jPDFTweak
- ...

dvb_ss2

[SiLæncer]

Wenn ich weiter drüber nachdenke fallen mir sicherlich auch noch einige ein ...aber ich wüsste nicht das es im WWW irgendwo so ne Auflistung gibt ...dafür sind das sicherlich viel zu viele ...von daher kann man sicherlich auch festhalten das man letztlich auf die Java Runtime nicht verzichten kann ...gleiches gilt für .NET ...

[Jürgen]

Es gibt auch wichtige Tools, die auf Java basieren, z.B. die beliebten jNetTools.
Die kommen direkt im .jar Format daher.
Und gerade so etwas behält man natürlich, seit die rechtliche Lage für solche Spielzeuge hierzulande heikel geworden ist.

Jürgen

[SiLæncer]

Anfang dieser Woche wurde eine als äußerst kritisch einzustufende Schwachstelle in Java bekannt. Aus diesem Grund hat sich Oracle ebenfalls in dieser Woche dazu entschieden, einen Notfall-Patch zu veröffentlichen.

Die in Polen ansässigen Sicherheitsforscher aus dem Hause Security Explorations behaupten in einer an das Online-Portal 'Computerworld.com' versendeten E-Mail, dass man in dem besagten Patch für Java eine kritische Sicherheitslücke ausfindig machen konnte. Damit soll es möglich sein, aus der Sandbox von Java auszubrechen.

Alle wichtigen Informationen in diesem Zusammenhang wurden von den Sicherheitsexperten an Oracle versendet. Dazu gehört auch ein funktionierender Proof-of-Concept-Angriffscode. Mit der Öffentlichkeit will man vorerst keine Details über die entdeckte Lücke teilen. Diesbezüglich will Security Explorations warten, bis Oracle einen Patch veröffentlicht.

Angesichts des Schweregrades der jüngst bekannt gewordenen Sicherheitslücke war die Empfehlung von Sicherheitsexperten bisher ganz klar: Das Java-Plugin sollte umgehend abgeschaltet werden. Üblicherweise veröffentlicht Oracle nur alle vier Monate entsprechende Updates. Zum frühzeitigen Release eines Updates haben sich die Entwickler entschieden, da die Schwachstelle bereits aktiv angegriffen wurde.

Quelle : http://winfuture.de

[SiLæncer]

Der polnische Sicherheitsforscher Adam Gowdiak hat eine weitere Schwachstelle in Java gefunden, durch die ein Angreifer die Sandbox umgehen kann. Dies gab er auf der Mailingliste Full Disclosure bekannt. Durch die Lücke kann das im Browser ausgeführte Java-Applet mit den Rechten des angemeldeten Nutzers auf dem System wüten und etwa Schadcode platzieren.

Der ganze Artikel

Quelle : www.heise.de

[ritschibie]

Die Firma Oracle hat Updates des Development-Kits für die Standardausgabe der Java-Plattform veröffentlicht. Das JDK ist in Version 7u10 auch für Mac OS X 10.8 und Windows 8 zertifiziert und wurde besonders in puncto Sicherheit verbessert.

So lässt sich jetzt unter anderem über das Java Control Panel einstellen (unter Windows auch über die Kommandozeile möglich), ob Java-Anwendungen im Browser laufen sollen oder nicht. Darüber hinaus kann dort eins von vier Sicherheits-Leveln für nicht signierte Applets, für Anwendungen, die Java Web Start nutzen und für im Browser laufende, eingebettete JavaFX-Apps gewählt werden. Stellt die verwendete Java-Laufzeitumgebung aufgrund ihres Alters oder der eingestellten Anforderungen eine Sicherheitslücke dar, wird wohl außerdem in der aktualisierten JDK-Version ein Warndialog mit Aufforderung zum Update angezeigt.

Eine Liste aller behobenen Fehler und die Release Notes mit weiteren Informationen zum Update sind auf Oracles Webseite zu finden. Das JDK findet sich im Download-Bereich der Java-SE-Seite.

Quelle: www.heise.de

[SiLæncer]

In der aktuellen Java-Version 7 Update 10 klafft eine kritische Sicherheitslücke, die offenbar bereits im großen Stil für Cyber-Angriffe ausgenutzt wird. Wer Java auf seinem Rechner installiert hat, sollte das Java-Plug-in im Browser umgehend deaktivieren.

Ein Malware-Forscher mit dem Pseudonym kafeine hat im Netz einen Exploit entdeckt, der eine bislang unbekannte Java-Schwachstelle ausnutzt. Die Sicherheitsexperten von AlienVault analysierten den Exploit daraufhin und bestätigen die Brisanz des Funds: Es gelang ihnen damit, Code in ein vollständig gepatches Windows-System mit Java 7 Update 10 einzuschleusen. Unklar ist derzeit noch, ob die Lücke auch in dem 6er Versionszweig klafft. Bei einem ersten Test von kafeine zündete der Exploit unter Java 6 nicht.

Der ganze Artikel

Quelle : www.heise.de