News Gefährdungspotential von Java 6 steigt stark an

[MountWalker]

Ja, um ein AIR-Programm zu starten brauchst du auch AIR, um ein .Net-Programm zu starten, brauchst du .Net, um ein GTK+ Programm zu starten brauchst du GTK+, um ein Qt Programm zu starten, brauchst du Qt um ein WinAPI Programm zu starten brauchst du die WinAPI.

P.S.
Vielleicht hätte man der News anfügen sollen, dass nach wie vor die meisten Viren die WinAPI nutzen - das hätte vermutlich kaum jemanden dazu gebracht, zu fordern, Windows zu deinstallieren.

P.P.S.
Viele Viren nutzen ECMA/Javascript als Einfallstore, deinstalliert die Webbrowser!

 

[Haudrauff]

Ich sehe die Schuld ganz klar bei Oracle, wenn Anwender veraltete Versionen benutzen.

Es gibt auch noch Super-DAUs. Bitte die nicht vergessen.

Mein bester Kumpel hat für seine Bar einen PC für Musik und Lichttechnik und auch natürlich fürs Geschäftliche.
Nach dem Einrichten hat er als erstes automatische Updates komplett ausgeschaltet, nicht mal Benachrichtigungen sind aktiviert. Ich hab ihn entgeistert angesehen und gefragt was das soll, versucht ihm von der wichtigkeit der Updates zu überzeugen.
Seine Antwort war lediglich, dass es ihn stören würde wenn er was wichtiges macht und der PC in dem Moment Updates zieht. Boom. Das war sein letztes Wort.
Mein letztes Wort war dann, dass er mich nicht mit seinen PC-Problemen nerven soll sobald mal irgendwas nicht geht.

Da ich ja auch zugriff auf dem PC habe kann ich der Windows-Updateliste beim wachsen zusehen.

 

[hallo7]

Bei so was versuche ich mich in den einfachen Anwender zu versetzen, der nicht mehr kann, als den PC unfallfrei zu starten und ein Programm zu benutzen und ein bisschen surft. Der installiert dann mal etwas, was ihn interessiert, wobei er schon vorsichtig ist, dass es von einem bekannten Hersteller oder Downloadportal kommt und schwups ist Java auf seinem PC, ohne dass er es merkt. Das Spiel deinstalliert er auch wieder, weil er es doch nicht gut findet. Aber Java bleibt auf dem PC, auch wenn es eine veraltete Version ist. Und damit ist er gefährdet, ohne eigenes Verschulden.

Naja dadurch ist er grundsätzlich trotzdem nicht gefährdet.
Er muss immer noch den Virus auf den PC laden (ob durch eine achtlose Installation oder ein Applet ist ja egal, da technisch gleich) und an dem Punkt ist einzig und allein der User Schuld und nicht Java oder Oracle.

 

[Mr Tee]

Problem ist absolut hausgemacht. Auf ~70% aller Rechner funktioniert die Update-Routine nicht bzw. bricht mit Fehlern ab.

 

[pmkrefeld]

Schön, dass die meisten nicht wissen wovon sie reden, könnte kotzen wenn ich sowas lese, noch nicht einmal den Artikel durchgelesen aber im Forum auf dicke Hose: "Ich habe es schon vor einer Ewigkeit runtergeschmissen, weil ich so schlau bin!" *kotz* *würg*.

 

[Garack]

Hey, besteht eigentlich auch Gefahr für Java basierte Programme wie den Jdownloader? Sollte ja sicher sein egal wie alt das Java ist, oder? Nur die Browser Plugins stellen eine Gefahr dar?

 

[Garrus83]

Java ist eine ziemlich solide Programmiersprache - wenn Anwender nicht mehr unterstützte Versionen verwenden, ist das deren eigene Schuld.

Das sagt sich so. Aber es gibt durchaus Software, die nur mit Java 6 läuft, wie z.B. die DUDEN Rechtschreibkorrektur für OpenOffice/LibreOffice.

 

[deo]

Das sagt sich so. Aber es gibt durchaus Software, die nur mit Java 6 läuft, wie z.B. die DUDEN Rechtschreibkorrektur für OpenOffice/LibreOffice.

Dies ist ein bekanntes OpenOffice /LibreOffice Problem

http://www.duden.de/support/haeufige-fragen/duden-Rechtschreibpruefung-9-openoffice-libreoffice

Wer hat da Schuld?

 

[pa110564]

Für Java Sicherheitlöcher sind nachfolgende Personenkreise verantwortlich:

1) Die Entwickler der Programmiersprache Java - sie haben diese Loch übersehen.
2) Die Entwickler von Applikationen mit der Programmiersprache Java und deren Management, da hier immer wieder
aus kapitalistischen Kostengründen auf alten Releaseständen entwickelt wird und der Applikationstest/Support
von neueren Releasen unterbleibt.
3) Die CIO / Manager / Applikationsbetreuer / Applikationsadministatoren der Unternehmen, die aus Stabilitätsängsten
und Angst der Verantwortungsübernahme und Kosteneinsparung auf den alten Releaseständen sitzen bleiben.

Die Gruppe 1) behebt wenigstens ihre Fehler.
Die Gruppen 2) und 3) beklagen sich über die Kosten des Upgrades, Umstiegs, Entwicklungstests, ...
und wenn sie dann auch noch "gehackt" werden - über die Sicherheitslöcher.

 

[Garrus83]

Da steht nicht, dass das ein OpenOffice /LibreOffice-Problem ist und ich wage das auch schwer zu bezweifeln, weil OO bei mir anstandslos mit Java 7 funktioniert (das angeführte OO/LO-Problem ist ein anderes). Ich denke, das Problem ist eher, dass Duden die Software kaum weiterentwickelt hat.

Edit: Bin mir nicht mehr ganz so sicher, da ja für OO eine Lösung genannt wird. Interessant!

Unabhängig von der Schuldfrage bleibt das ein Hindernis beim Upgrade auf Java 7.

 

[MountWalker]

Auch in der aktuellen Version 9.0? Naja, ich werf dem, Dudenverlag nicht unnötig Geld in den Rachen, alle paar Jahre eine neue Version der PC-rechtschreibprüfung kaufen ist mir dann eher zu viel.

P.S.
Ich blätter gern in der Ausgabe des Wahrig-Verlags, und wenns nur ist, um nicht dem Privatunternehmen hinter dem "Duden" eine Quasimonopolmacht zu gönnen. Aber hey, Wahrig hat sogar einen Mehrwert: Die DPA-Empfehlungen gibts im Duden nicht.

 

[Garrus83]

Auch in der aktuellen Version 9.0?

Nicht nur das, die neuen Versionen von OO/LO werden ebenfalls nicht unterstützt und laut FAQ ist das auch nicht geplant.

 

[testuser58]

Irre finde ich ja, dass java 6 nicht (mehr?) per Auto-Update auf Java 7 aktualisiert wird. Ich habe letztens ein System gehabt, wo der Updater sagt "sie haben die aktuelle Java Version" und ich dann feststellen musste, dass es Java 6 war!

Ergänzung (14. September 2013)

Hey, besteht eigentlich auch Gefahr für Java basierte Programme wie den Jdownloader? Sollte ja sicher sein egal wie alt das Java ist, oder? Nur die Browser Plugins stellen eine Gefahr dar?

Jedes Programm kann die Lücken nutzen. Wenn das Programm und insbesondere seine Update-Funktion ordentlich gesichert sind ist das aber kein Problem - und selbst wenn es nicht gesichert ist die Ausnutzung doch deutlich unwahrscheinlicher

Die gafhr beim Applett ist, das du es ausführst, ohne es zu wissen - nur weil due eine bestimmte Website aufrufst, die dir sagt, dass du (bzw dein Browser) es tun soll.

 

[freacore]

Und gegen sowas benutzt man dann Noscript.

 

[MountWalker]

Irre finde ich ja, dass java 6 nicht (mehr?) per Auto-Update auf Java 7 aktualisiert wird. ...

Stimmt - das hatte ich ganz vergessen. Die Fähigkeit zur Side-by-Side-Installation mehrerer JRE-Hauptversionen führt dazu, dass Java 7 eben kein Update für Java 6 ist. Oracle sollte also darüber nachdenken, ein Java6-Update für die nichtzahlenden Javakunden zu veröffentlichen, das eine entsprechende Meldung bringt.

Sobald Java 7 installiert ist, sollte das die JRE sein, die von Webbrowsern aufgerufen wird, egal ob daneben auch noch Java 6 oder Java 5 installiert sind. Insofern kann ja Java 6 ruhig installiert bleiben. Aber einen Hinweis darauf, dass Java7 installiert werden sollte, sollte es dennoch auch vom Auto-Updater geben.

 

[Morku]

Na zum Glück wird Java bei der neuen Firefox schon aus Prinzip ausgesperrt und demnächst auch alle anderen Plugins bis auf die aktuelle Flash Version.
http://www.soeren-hentzschel.at/moz...tandardmaessiges-click-to-play-ab-version-26/

 

[MountWalker]

Schade dass Firefox hier eine Sonderregel für Flash vorsehen will. Opera macht da seit ettlichen Jahren Gleichberechtigung für alle und bietet die Klickaktivierung für Plugin-Felder in Websites für alle PlugIns an. Da wird dann auch niemand ausgesperrt und anders als bei Chrome sehe ich bei Opera genau, wo in der Website das Plugin ist, das aktiviert werden kann. Wenn ich auf einer Website drei Flashfelder habe, aktiviere ich bei Opera eben genau das Feld, in dem ich den Inhalt vermute, den ich sehen will, und lass die Werbebanner unaktiviert. Funktioniert seit ettlichen Jahren reibungslos. Hach, Opera ist einfach geil.

P.S.
Bei Standardeinstellung fragt eine aktuelle Java 7 RE auch, ob ich ein WebApplett erlauben will, oder nicht. Mich hat sie letztens sogar bei Java.com "Habe ich Java bereits?" gefragt. Die Browserentwickler scheinen sich im Moment auch u sagen, zweimal fragen, ob mans erlauben will, wäre besser, als einmal fragen. War das nicht mal ein Running-gag der Apple-Werbung, dass einem der Windows-PC immer mehrmals nacheinander die gleiche Frage stellt?

 

[Greenmaxn]

Hey, besteht eigentlich auch Gefahr für Java basierte Programme wie den Jdownloader? Sollte ja sicher sein egal wie alt das Java ist, oder? Nur die Browser Plugins stellen eine Gefahr dar?

Mit Java kannste genauso gut einen Trojaner programmieren und auf der JVM laufen lassen, wie mit C, .NET. basierten sprachen etc. pp.

Das Problem dabei sind eben Exploits für scheinbar harmlose Browser-Anwendungen, die dann den Trojaner nachladen, und dabei evtl. noch den Sicherheitsdialog aushebeln, weil es dabei schwieriger ist, die Gefahr zu erkennen.

Auf dem Desktop (bei ausgeschaltetem Browser-Plugin) gilt: Eine porn.jar ist genauso gefährlich wie eine porn.exe

 

[pmkrefeld]

Ihr wisst schon dass man sich aussuchen kann mit welcher VM ein Java basiertes Programm ausgeführt wird?

 

[alphatau]

Irre finde ich ja, dass java 6 nicht (mehr?) per Auto-Update auf Java 7 aktualisiert wird.

Gestern spielte ich ein Ghost-Image für einen alten Laptop auf, wo noch Java 6 Update 45 installiert war. Wenige Minuten nach dem ersten Boot bot mir der Java Updater die Version 7 Update 40 zur Installation an...