Nachrichten in aller Kürze
Alles zur Community
Nachrichten, die zu Ihnen kommen: Newsletter, Feeds und SMS
Alles zu unseren mobilen Angeboten: Apps, Mobilversion und SMS
Unsere Radio- und TV-Angebote
Die Zeitung im Internet: Abo, E-Paper, Anzeigen und mehr
Alles über die Redaktion von derStandard.at
Alles über Onlinewerbung, Stellenanzeigen und Immobilieninserate
Der Umgang des Softwareherstellers Oracle mit Sicherheitsproblemen in Java ist in den letzten Tagen unter massive Kritik gekommen: Obwohl man von einem kritischen Problem in der Software bereits seit Monaten informiert war, sah man bis zuletzt keine Notwendigkeit ein entsprechendes Update auszuliefern.
Erst nach Bekanntwerden der Lücke - und einsetzender, öffentlicher Kritik - besann sich der Softwarehersteller zu einer Positionsänderung: Statt wie ursprünglich geplant erst im Oktober 2012 gab es nun in Form von Java 7 Update 7 vor wenigen Tagen eine neue Sicherheitsaktualisierung.
Doch wer glaubt, dass diese Affäre damit erledigt ist, sieht sich nun allerdings eines besseren belehrt: Oracle scheint beim aktuellen Update nämlich ganz ordentlich gepatzt zu haben. Zwar wird die ursprüngliche Lücke tatsächlich damit behoben, offenbar dabei aber eine nicht minder kritische, neue Sicherheitslücke eröffnet. In Kombination mit anderen, ebenfalls noch nicht geschlossenen Problemen, lässt sich damit ein Ausbruch aus der Java-Sandbox erreichen und beliebiger Code auf dem betreffenden Rechner ausführen.
Dies funktioniert nicht zuletzt mit Java-Applets, also in Webseiten eingebetteten Programmen. Über entsprechend manipulierte Webseiten ließen sich also mit Java ausgestattete Rechner relativ einfach mit Schadcode infizieren. Aufgrund der Schwere dieses Problems empfiehlt es sich weiterhin ein installiertes Java-Plugin im Browser zu deaktivieren - oder ganz zu entfernen.
Die neue Sicherheitslücke wurde wieder vom polnischen Sicherheitsunternehmen Security Explorations aufgespürt, das schon das vorhergehende Problem entdeckt hatte. Eine Stellungnahme von Seiten Oracles gibt es zu den neuen Vorwürfen bislang noch nicht. (apo, derStandard.at, 02.09.12)
Innenministerin Mikl-Leitner will digitale Straftaten auch bei StGB-Novelle diskutieren
US-Politiker machen Iran verantwortlich
Möglicherweise bis zu 22 Millionen Benutzerkennungen ausgespäht
Untersuchungen sollen Ursprung des Spionage-Tools abklären
Microsoft lanciert Warnung - Schädling tarnt sich als Browser-Erweiterung
Kaspersky: Spammer weichen allerings immer öfter auf soziale Netzwerke aus
Sicherheitsforscher konnten über ungepatchte Lücke auf Gebäudeverwaltung zugreifen
Vertrag gilt für ein Jahr und zehn Rechner
"Man braucht nur wenige Klicks, bis man am virtuellen Schaltpult eines Heizkraftwerks steht"
Twitter rechnet künftig mit weiteren Attacken auf Medien
Polizei warnt vor Schädling - Virus versucht, Geld vom User zu erpressen
Unbekannten kopierten komplette Kreditkartensätze von Servern der Plattform Traveltainment
Nicht signierten Applets wird nun stets eine Warnung vorgeschalten
Angesichts der großangelegten Brute-Force-Attacke sollte einiges beachtet werden
Framework "SIMON" schleust sich in Flugmanagementsysteme ein - Übertragungsprotokoll anfällig
Malware installiert Bitcoin-Mining-System im Hintergrund und sorgt für spürbaren Performance-Einbruch des Computers
Mit Hilfe von Trojanern kann der ganze Rechner in die Kontrolle Dritter gelangen - Webcam inklusive
Sicherheitsexperten machen auf Sicherheitslücken bei vernetzten Kameras aufmerksam
Angriff zeigt Handlungsbedarf für Sicherheit von Internet-Verbindungen
Angeblich intensive Attacken auf staatliche Server
Seit Sonntag wurde Schadsoftware 70.000 Mal erkannt
Stundenlang kein Zugriff für Kunden der US-Bank
Größere Gefahr für die Sicherheit der USA als der Terrorismus
Googles hochdotierter Hacker-Wettbewerb Pwnium 3 sah keinen Sieger
Deutsche Telekom sammelt Daten über 97 Honeypot-Systeme
unter windows ist java mit seiner schlechten update funktion einfach zu gefährlich deswegen hab ich es deinstalliert.
die paar java programme die ich nutze wie den jdownloader oder minecraft verwende ich nur mehr unter linux mit OpenJDK.
besonders leute die sich nicht so sonderlich am pc auskennen und die lästigen fenster immer nur weg klicken sollten java besser gleich ganz löschen.
und es geht aus den Foren jetzt nicht hervor ob die Transaktionen mit Hilfe der Bürgerkarte durch Java 7 nun einem Risiko ausgesetzt sind.
Daher meine Profezeihung: Die Turing Maschine geht wegen der Vernetzung ihrem Ende entgegen. Es wird anders rum laufen müssen - jedes Programm hat ein Zertifikat das auf dem Zielsystem die erforderlichen Funktionen freischaltet.
Oracle hat überhaupt nicht schnell reagiert. Die hatten das POC schon lange, natürlich wurde man erst aktiv als die Lücke auch publik wurde. Da MUSSTE man quasi etwas tun. Vorher interessierts ja keine Sau!
Kann alle Bug-Hunter verstehen welchen es reicht, von Herstellern auf Hinweise ohnehin kein Feedback zu bekommen.
Google machts bei Chrome vorbildhaft: da gibts dick Knete fürs finden von neuen Lücken. Es wird nichts versteckt sondern offensiv damit umgegangen. Davon ist man bei den meisten anderen aber WEIT entfernt.
Noscript für Java-Applets einzusetzen finde ich übertrieben. Firefox bietet eine einfache Einstellungsmöglichkeit: plugins.click_to_play
Ist dies auf True gesetzt, muss man jedes eingebettete Objekt, welches Plugins zur Darstellung benötigt, zuerst anklicken, bevor es geladen wird.
@Andreas Grois
> Noscript für Java-Applets einzusetzen finde ich
> übertrieben
Finde ich absolut nicht - schließlich gibt es genügend Exploits für JavaScript, Flash und andere aktiven Inhalte und so ist NoScript dringend anzuraten.
Nebenbei lassen sich XSS-Angriffe und - dank dem standardmäßig deaktivierten und nur auf explizit freigegebenen Seiten/Domains zugelassenen JavaScript auch noch "Drive-by" Exploits auf gehackten Webseiten (Exploits finden sich verstärkt auf "seriösen" Seiten und nicht mehr nur auf Crackz/Porn-Seiten) verhindern.
Vesuchen sich da Firmen wichtig zu machen mit Warnungen? Firefox beschäftigt mich auch schon ausführlich damit was zu überprüfen und upzudaten. Ich will aber arbeiten und der Wartungsaufwand für das dauernde Updaten geht mir sowas auf den Geist. Wenn die nicht bald eine LTS-Version rausbringen werde ich mir was anderes überlegen müssen.
die paar sekunden warten beim starten vom firefox alle paar wochen ist dir schon zu viel ?
was eine LTS-version ist dürfte dir auch nicht klar sein denn das bedeutet keines wegs dass es keine oder weniger updates gibt , das bedeutet nur dass es über einen längeren zeitraum garantiert updates gibts denn LTS steht für - Long Term Support -
Also beim FF updatet es sich überhaupt gar nicht - ich muss ihn erst im Admin Modus starten dass das passiert!
PS: Aurora habe ich gerade deinstalliert weil das total korrumpiert war und das ist bei LTS nicht nötig was ganz neu zu installieren.
Man kann natürlich auch das Ausführen von Scripts im Browser ausschalten (in den meisten neueren Browsern gibts diese funktion), aber das schließt die Sicherheitslücke genrell nicht ... und seit jede Webseite mit irgenden Scriptblödsinn daherkommt machts gleich weniger Spaß.
O'Reilly?
Code execution was confirmed with the latest Oracle and IBM Java 7 web browser plugin. IcedTea-Web using OpenJDK7 blocks this exploit by not allowing applet to change the SecurityManager (which is allowed in Oracle and IBM Java plugin).
https://bugzilla.redhat.com/show_bug.... ?id=852051
Von welchem Bug reden Sie?
Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.
