Thema: Java ...

[SiLæncer]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der gefährlichen Schwachstelle in der aktuellen Java-Version, die bereits zur Verbreitung von Schädlingen missbraucht wird. Das BSI rät, Java vollständig zu deinstallieren, bis ein Patch verfügbar ist. Ansonsten soll man zumindest die Plug-ins der Browser abschalten.

Wer die Warnung ignoriert und weiterhin mit aktivem Java im Netz unterwegs ist, handelt fahrlässig, denn der Angriffscode kann überall lauern. Immer wieder werden auch seriöse Webseiten nach Hackerangriffen als Virenschleuder missbraucht. Um Opfer einer Malware-Infektion zu werden, muss man die manipulierte Webseite lediglich aufrufen.

Bei einer Analyse eines Angriffs stellte sich heraus, dass die Schwachstelle bereits dafür genutzt wird, um die spanische Ausgabe des BKA-Trojaners zu verbreiten. Man muss fest damit rechnen, dass ähnliche Attacken auch bereits gegen deutsche Nutzer gefahren werden. In prominenten Exploit-Kits wie Black Hole ist ein passendes Angriffsmodul bereits enthalten. Oracle hat sich bislang nicht dazu geäußert, ob und wann ein Patch verfügbar sein wird.

Quelle : www.heise.de

[Micke]

Soll das jetzt so aussehen...

[Jürgen]

Soll das jetzt so aussehen...

Je nach Systemsprache, ja, unbedingt.

Sollte man für eine bestimmte Seite doch unbedingt das Java-Plugin brauchen, dann empfiehlt es sich dringend, nur dafür einen extra Browser zu betreiben, und zwar tunlichst eine eigentlich portable Version, die keine Orte außerhalb ihres eigenen Ordnersystems anrührt.
Oder auch umgekehrt.

Wie auch immer, nach jeder Browser- oder Java-Aktualisierung ist die Deaktivierung nochmals zu prüfen.

Jürgen

[SiLæncer]

Wegen einer gefährlichen Schwachstelle in Java deaktiviert Mozilla das Java-Plug-in im Firefox-Browser automatisch ab Version 17 auf allen Plattformen. Beim Besuch einer Website mit Java-Plug-in wird der Surfer nun auch bei den neueren Java-Versionen gefragt, ob das Plug-in für diese Sitzung oder generell wieder aktiviert werden soll. Apple scheint laut einer Meldung bei macrumors und deaktiviert alle bisherigen Java-Plug-ins, indem es über die Plug-in-Blacklist eine noch nicht veröffentlichte Version von Java 7 verlangt.

Quelle : www.heise.de

[SiLæncer]

Wie verschiedene US-Medien berichten, hat Oracle angekündigt, kurzfristig einen Patch für die vor wenigen Tagen entdeckte Zero-Day-Lücke in Java bereitzustellen. Der Fehler hatte unter anderem das deutsche BSI und das US-Heimatschutzministerium zu Warnungen veranlasst. Mozilla und Apple deaktivierten das Java-Plug-in in ihren Browsern. Betroffen ist nur die aktuelle Version 7 von Java.

Der ganze Artikel

Quelle : www.heise.de

[ritschibie]

Java 7 Update 11 schließt Sicherheitslücke.
(Bild: Andreas Donath/Golem.de)

Mit einem Patch außerhalb der Reihe hat Oracle die Ende vergangener Woche bekanntgewordene Sicherheitslücke in Java 7 beseitigt. Nutzer sollten dringend auf die neue Version Java SE 7 Update 11 umsteigen.

Oracle schließt mit Java SE 7 Update 11 die in der vergangenen Woche bekanntgewordene Zero-Day-Lücke in Java, die in den vergangenen Tagen bereits aktiv ausgenutzt wurde. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) riet Nutzern aufgrund der Sicherheitslücke, für die zunächst kein Patch existierte, Java zu deinstallieren.

Darüber hinaus verändert das Update die Standardeinstellung des Java Security Level von "mittel" auf "hoch". Dadurch können unsignierte Java-Web-Apps nur noch nach ausdrücklicher Bestätigung des Nutzers ausgeführt werden. Bei der zuvor geltenden Einstellung "mittel" wurden solche Apps ungefragt ausgeführt, solange der Nutzer die aktuelle Java-Version installiert hatte. So will Oracle verhindern, dass Sicherheitslücken künftig unbemerkt ausgenutzt werden können.

Java SE 7 Update 11 steht unter oracle.com ab sofort zum Download bereit. Oracle rät Anwendern, das Update möglichst schnell einzuspielen.

Quelle: www.golem.de

[SiLæncer]

Siehe auch hier : http://beta.dvbcube.org/index.php?topic=6030.msg183472#msg183472

Gibts auch bereits portable -> http://beta.dvbcube.org/index.php?topic=6592.msg183475#msg183475

[dvb_ss2]

Schön finde ich die Möglichkeit, dass man nun direkt in den Java-Einstellungen die Browser-Unterstützung deaktivieren kann.

Auch beim Update bleibt die Einstellung so vorhanden!

dvb_ss2

[spoke1]

Ich wollte grad aktualisieren da man meinen Bruder via Firefox an seinem Onlinspiel ohne Update nicht mehr teilnehmen lässt. Über 30 Minuten DL Zeit beim Oracle.... ich kuck die Tage noch mal vorbei  

[ritschibie]

Das US-CERT rät weiterhin vom Einsatz von Oracles Java ab – wer Java nicht braucht, sollte es auch nach dem letzten Update deaktivieren oder deinstallieren. Das CERT stützt seine Vorsicht auf Erkenntnisse von Sicherheitsforschern von Immunity. Demnach soll die gefährliche Lücke, die das Einschleusen von Code über kompromittierte Webseiten ermöglicht, mit dem Patch gar nicht geschlossen worden sein. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt hingegen Entwarnung. Mit Einspielen des Updates "können auch die Browser-Plugins wieder aktiviert und genutzt werden".

Sein neu angefachtes Misstrauen drückt das US-CERT mit einem Update in seiner Warnung vor den Java-Sicherheitslücken aus. Mit der weiteren Deaktivierung von Java könne man die Folgen abschwächen, die drohen, "wenn in Zukunft andere Java-Sicherheitslücken gefunden werden."

Zudem hat Immunity Oracles Update unter die Lupe genommen und die Ergebnisse in einem Blogeintrag veröffentlicht. Die Bilanz: Oracle hat mit dem Update nur eine der beiden Lücken gestopft. Finden Kriminelle eine neue Zero-Day-Lücke als Einstiegstor, wird die Lücke wieder ausnutzbar. Von den Kriminellen genutzte Exploit-Tools müssten dann nur noch angepasst werden und wären schnell wieder im Einsatz. Die Sicherheitsforscher weisen deshalb darauf hin, dass es gerade heute wichtig ist "jedem einzelnen Bug besondere Aufmerksamkeit zu schenken."

Was zukünftige Angriffe seit dem Update allerdings erschwert, ist die von Oracle vorgenommene Veränderung der Sicherheitseinstellungen für Applets – dadurch wurde das Vertrauen gegenüber unsignierten Applets herabgesetzt; Nutzer werden gewarnt. Exploits sollten diese Signatur nur schwerlich erhalten.

Quelle: www.heise.de

[ritschibie]

Nur 24 Stunden nachdem Oracle eine gefährliche Sicherheitslücke mit dem Update auf Java 7u11 gepatcht hat, behauptet ein Krimineller laut "Krebs on Security", dass es eine weitere Zero-Day-Lücke gibt, die er bereits in einschlägigen Foren verkauft hat. Wie Brian Krebs schreibt, wurde der Exploit mit der neuen Lücke für mindestens 5.000 US-Dollar pro Kopf an zwei Interessierte verkauft. Der Verkäufer amüsierte sich darüber, dass Oracle "schon wieder versagt" hat.

Schon kurz nach Oracles Update Anfang dieser Woche beanstandeten Sicherheitsforscher Adam Godwiak und Sicherheitsforscher von Immunity die Patch- und Updatepraxis des Unternehmens. Immunity stellte sogar heraus, dass Oracle nicht – wie angegeben – zwei, sondern nur eine kritische Sicherheitslücke mit Java 7u11 stopfte. Wenn ein neuer Zero-Day auftauchen würde, könnten Kriminelle ihre bereits genutzten Exploit-Kits reaktivieren. Das US-CERT nahm diese Erkenntnisse zum Anlass, weiterhin vor dem Java Browser-Plugin zu warnen. Das Bundesamt für Sicherheit in der Informationstechnik gab hingegen Entwarnung.

Brian Krebs gibt an, dass er über seine kritische Berichterstattung zu Oracle mit einigen Lesern über Twitter in Streit geriet, aber an seiner Meinung festhalte: Das Unternehmen scheine sich nicht bewusst zu sein, dass seine Software "auf Hunderten von Millionen Computern" verbreitet ist. Und mit seinem Service "scheint Oracle eine Nachricht zu verbreiten: Oracle möchte keine Hunderte von Millionen Kunden - und diese sollten bei dieser Nachricht aufhorchen und dementsprechend reagieren."

Quelle: www.heise.de

[SiLæncer]

Adam Gowniak ist unermüdlich: Kaum hat Oracle einen Eil-Patch für die 0-Day-Lücke in Java bereitgestellt, findet der Sicherheitsforscher das nächste Einfallstor. In einem Beitrag auf der Mailingliste Full Disclosure verrät er dazu nur, dass ihn die fehlerhafte _{MBeanInstantiator}-Methode Inspirationen bei der Suche nach weiteren Lücken inspiriert habe. Zuvor hatte schon Brian Krebs auf einen neuen Exploit hingewiesen, den der Oracle-Patch nicht ausbremst. Ob es sich um dieselbe Schwachstelle handelt, ist nicht klar.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Sicherheitsforscher Adam Gowdiak weist darauf hin, dass die von Oracle gerade erst eingeführte neue Sicherheitsmaßnahme für das Java-Browser-Plugin bereits umgangen werden kann. So hatte Oracle mit dem letzten Java-Update die Sicherheitseinstellungen für im Browser ausgeführte Applets von "Medium" auf "Hoch" gesetzt, wodurch das Ausführen unsignierter Applets nun an eine Bestätigung durch den Nutzer gekoppelt ist. Dies sollte verhindern, dass Applets einfach geladen werden.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Eigentlich wollte Oracle die nächsten Updates für seine Laufzeitumgebung Java erst am 19. Februar veröffentlichen. Da die Sicherheitslücken im aktuellen Java 7 Update 11 bereits ausgenutzt werden, wurde das Update 13 als Notmaßnahme nun um zwei Wochen vorgezogen. "Angesichts der Gefahr eines erfolgreichen Angriffs" empfiehlt Oracle in seinem Critical Patch Update Advisory, die Aktualisierung möglichst schnell einzuspielen.

Das aktuelle Update soll die von Browsern eingebundene Java-Laufzeitumgebung (JRE) wieder surfsicher machen. Dem Hersteller zufolge enthält es insgesamt 50 Korrekturen für alle aktuell unterstützten Java-Varianten. 26 der Sicherheitsrisiken bewertet Oracle mit der höchsten Stufe 10, zwei mit Stufe 9,3. Bis auf eine sind alle Lücken von außen zugänglich; die Ausnahme betrifft den Java-Installationsprozess.

Der ganze Artikel

Quelle : www.heise.de


Siehe auch hier und hier.

[SiLæncer]

Oracle hat einen weiteren Java-Patch für den 19. Februar angekündigt, um das Notfall-Update vom 1. Februar zu ergänzen. Das Notfall-Update auf die Versionen 7u13 und 6u39 war veranlasst worden, da Kriminelle einige Sicherheitslücken bereits ausnutzten – dadurch hatte Oracle das eigentlich geplante Update vom 19. Februar auf den 1. Februar vorgezogen.

Wie das Unternehmen schreibt, müsse nun aufgrund des vorher herrschenden Zeitdrucks "eine kleinere Zahl von Fixes" nachgeliefert werden. Um welche "Fixes" es sich genau handelt, wird Oracle mit dem Update bekannt geben.

Quelle : www.heise.de