ComputerBase Menü
Aktuelles

News Neue Sicherheitslücke in Reflection-API von Java entdeckt

JuggernautX schrieb:
und wie Du schon sagst, ist Hibiscus/Jameica ganz normales Java Programm und dieses ist betroffen weil siehe oben!
Zum Vergrößern anklicken....

Ja eben, du verstehst es nicht. Für dich wäre die Meldung hier ein Problem, wenn die Entwickler von Hibiscus/Jameica diese Sicherheitslücke ausnutzen würden, Hibiscus/Jameica als Malware wäre.
Java alleine ist kein Problem. Erst wenn Programme in der VM ausgeführt werden, kann es zum Problem werden. Ob du Java Programme ausführst oder nicht, hast du aber selbst im Griff.
Die Hauptangriffsfläche sind in Webseiten eingebundene JavaApplets. Hat man die aber deaktiviert oder hat man in den Java Einstellungen die Ausführung von Webanwendungen generell verboten, war's das.
 
Traurigerweise musste ich vor ein paar Tagen feststellen, das Java zumindestens mir als halbwegs normalen User mittlerweile egal ist. Ich bekam die Meldung zu updaten, da habe ich es spasseshalber mal komplett runter geschmissen... und noch nicht vermisst. Also ganz entspannt, was solche Meldungen angeht. Selbst mein Sohn, der ziemlich gut in de Javaprogramierung ist, hat die " faxen dicke".
 
JuggernautX schrieb:
ich habes deinstalliert, mir reicht es. Leider muss ich mein geliebtes Hibiscus/Jameica opfern.
Zum Vergrößern anklicken....

Aha. So lange du nur Hibiscus/Jameica im Zusammenhang mit Java benutzt und das Browser Plugin sauber deaktiviert ist, dann hast du grundsätzlich nichts zu fürchten. Oder vertraust du deine GELIEBTE Software nicht? :)
Ich versteh deine Angst nicht. Jede Schnittstelle oder Sprache hat so seine Sicherheitslücken, die ausgenutzt werden können. Schmeiss dein Computer weg, dann brauchst du auch von so was keine Angst mehr haben. Aber ja.. Was will man machen, die Medien haben einfach Überhand und steuern die Gesellschaft wie sie es wollen~
Kurz gesagt: ES IST NICHT NUR JAVA HIER MIT SICHERHEITSLÜCKEN. DAS IST FAKT! LASS DICH NICHT UNTERKRIEGEN!
 
Zuletzt bearbeitet:
OK Leute,

ich danke euch.

evtl. hab ich die ganze Sache auch noch nicht richtig verstanden, ich gebs ja zu. Trotzdem kriegt man erst mal ein Schock von den ganzen Meldungen:p

Ich müsst doch aber zugeben, dass wenn das Browser Plugin deaktiviert ist, man wirklich große Komforteinschränkungen hat oder geht das nur mir so?
 
Ich müsst doch aber zugeben, dass wenn das Browser Plugin deaktiviert ist, man wirklich große Komforteinschränkungen hat oder geht das nur mir so?
Zum Vergrößern anklicken....
So ein Quatsch :D ich hab das schon mindestens 2-3 Monate deaktiviert und merke gar nichts von Komforteinschränkungen . Ich hab es über Systemsteuerung/Javava Control Panel/Sicherheit deaktiviert.
 
Jetzt verwechselst du Java mit JavaScript. ;)
Um die Verwirrung komplett zu machen, beides hat miteinander rein gar nichts zu tun, abgesehen vom gleichen Namensbestandteil. Ich wüsste nicht, wofür man Java im Browser benötigt. Vielleicht noch irgendwelche Ticketbuchungsysteme? Und falls man einmalig ein Zertifikat für das Elster Programm erzeugen will, aber sonst fällt mir nichts ein.

Falls du Win7 und Java 7 hast, würde ich an deiner Stelle mal in 'Systemsteuerung/System und Sicherheit' gehen und da oben nach Java suchen. Dort das JavaControlPanel starten, in den Reiter Sicherheit gehen, die Sicherheitsebene voll hochdrehen und das Häkchen 'Java-Content im Browser aktivieren' wegnehmen.
Das Browserplugin wird nämlich meines Wissens bei jedem Update neu mitinstalliert und aktiviert. Doofe Sache. Müsste man also immer wieder im Browser einstellen.
 
Falls du Win7 und Java 7 hast, würde ich an deiner Stelle mal in 'Systemsteuerung/System und Sicherheit' gehen und da oben nach Java suchen. Dort das JavaControlPanel starten, in den Reiter Sicherheit gehen, die Sicherheitsebene voll hochdrehen und das Häkchen 'Java-Content im Browser aktivieren' wegnehmen.
Das Browserplugin wird nämlich meines Wissens bei jedem Update neu mitinstalliert und aktiviert. Doofe Sache. Müsste man also immer wieder im Browser einstellen.
Zum Vergrößern anklicken....
Genau das hab ich vor 2-3 Monaten(oder ist es schon länger her?:D) gemacht nachdem ich den Tipp bei Rokop gelesen habe und seitdem ist das Einfallstor für Malware deaktiviert. Selbst wenn es Updates für Java 7 gibt, wird Java Content im Browser aktivieren durch die Updates nicht wieder aktiviert. War bei mir bis jetzt so.
 
karamba schrieb:
Jetzt verwechselst du Java mit JavaScript. ;)
Um die Verwirrung komplett zu machen, beides hat miteinander rein gar nichts zu tun, abgesehen vom gleichen Namensbestandteil. Ich wüsste nicht, wofür man Java im Browser benötigt. Vielleicht noch irgendwelche Ticketbuchungsysteme? Und falls man einmalig ein Zertifikat für das Elster Programm erzeugen will, aber sonst fällt mir nichts ein.

Falls du Win7 und Java 7 hast, würde ich an deiner Stelle mal in 'Systemsteuerung/System und Sicherheit' gehen und da oben nach Java suchen. Dort das JavaControlPanel starten, in den Reiter Sicherheit gehen, die Sicherheitsebene voll hochdrehen und das Häkchen 'Java-Content im Browser aktivieren' wegnehmen.
Das Browserplugin wird nämlich meines Wissens bei jedem Update neu mitinstalliert und aktiviert. Doofe Sache. Müsste man also immer wieder im Browser einstellen.
Zum Vergrößern anklicken....

HaaaHaaa, stimmt hab ich verwechselt obwohl ich es weiß, dass es nix miteinander zu tun hat....scheiß Gedankenspiel. :D

Ich meine natürlich durch das deaktivieren von JavaScript hat man (zumind finde ich es) Komforteinbußen.;) (Das fängt schon damit an hier ein Smiley zu setzen, habe ich gerade gemerkt :D)

Ich habe jetzt schon Java deinstalliert, war zu schnell.
 
Ich meine natürlich durch das deaktivieren von JavaScript hat man (zumind finde ich es) Komforteinbußen. (Das fängt schon damit an hier ein Smiley zu setzen, habe ich gerade gemerkt )
Zum Vergrößern anklicken....
Was hast du denn für eine "Kiste"? ich merke nichts von Komforteinbußen beim Firefox durch das deaktivierte Browser Plugin. Aber das deaktivieren ist definitiv ein Sicherheitsgewinn für User die Java nicht deinstallieren wollen bzw können weil Java für bestimmte Programme gebraucht wird.
 
Java ist auch bei mir runtergeflogen.
Das einzige Programm welches ich nutze und Java haben möchte, ist der TV-Browser.
Dem gönne ich dann ein portables Java.
 
Wie alle immer denken, es sei eine Sicherheitslücke wenn ein Benutzer einer Anwendung (die nunmal auch Schadsoftware enthalten kann) die Ausführung erlaubt.
Die einzige Sicherheitslücke bei Java ist und war immer der Benutzer.
Wenn ich über Emails ein Schadprogramm verbreite, Benutzer dieses aktivieren und es infolge Windows lahm legt, hat doch auch nicht Windows ne Sicherheitslücke... Selbes Prinzip, nur das manche "Browser" unter Umständen so schlau sind (ist aber trotzdem der Benutzer verantwortlich), dass sie, wenn man auf falschen Seiten unterwegs ist, automatisch das Programm aktivieren. (klar kann man das Plugin gewisse Systemberechtigungen entziehen, damit es weniger Schaden anrichten kann, aber das ist doch nicht der Punkt. Man kann nicht alles absichern, sonst hat man keine Funktion)

Ich halte diese "Lücke" für keine große Sache, Oracle wird sie beim nächsten Update Zyklos mitfixen. Gibt viel größere Lücken über die man einfacher Zugang zum System bekommt, als über ein Plugin, dass immer weniger benutzt wird. Die Erfolgsrate von titten.exe ist vermutlich immer noch höher, als diese "Lücke".
 
Zuletzt bearbeitet:
purzelbär schrieb:
Was hast du denn für eine "Kiste"? ich merke nichts von Komforteinbußen beim Firefox durch das deaktivierte Browser Plugin. Aber das deaktivieren ist definitiv ein Sicherheitsgewinn für User die Java nicht deinstallieren wollen bzw können weil Java für bestimmte Programme gebraucht wird.
Zum Vergrößern anklicken....

Ich hab ne geile Kiste :D

z.B. wenn du in einer Singlebörse bist oder auch mal ein Filmchen bei YouPorn gucken willst, schon haste verloren :D
Ergänzung ()

uwe-b schrieb:
Java ist auch bei mir runtergeflogen.
Das einzige Programm welches ich nutze und Java haben möchte, ist der TV-Browser.
Dem gönne ich dann ein portables Java.
Zum Vergrößern anklicken....

Ich habe selbst viele portable Programme und bin ein erklärter Fan eben solcher aber das mit dem portablen Java habe ich nie hin gekriegt und gerafft. Das wäre natürlich klasse.
 
z.B. wenn du in einer Singlebörse bist oder auch mal ein Filmchen bei YouPorn gucken willst, schon haste verloren :D
Zum Vergrößern anklicken....
Du Nimmersatt :D dann wünsch ich dir doch glatt mal das beim nächsten YouPorn Filmchen bei dir sich ein Exploit aktiviert das dir einen Trojaner oder Ransom aufs System bringt und das infiziert :p
 
na toll......zumind lass ich es in der VM laufen....soll sicherererer sein....hoffe ich :p
 
ice-breaker schrieb:
Auf Grund des großen Codeumfangs ist das einfach nicht realistisch. Und selbst wenn es einen kompletten Rewrite geben würde, wird man noch immer Millionen Sicherheitslücken finden, der Mensch macht nunmal Fehler.
Zum Vergrößern anklicken....

Würde wunderbar klappen wenn Oracle Java mal endlich Open Source machen würde. Aber es lässt sich halt doch noch ein bissl Geld damit verdienen.
 
ice-breaker schrieb:
Die könnten auch morgen das .Net-Framework zerlegen und wöchentlich neue schwere Fehler finden. Ich will da mal die ganzen "zum Glück habe ich Java gelöscht"-Leute sein, auf einem Windows ist mit deinstalliertem .Net nicht mehr viel mit Software :lol:
Zum Vergrößern anklicken....

Nur dass .NET-Anwendungen (mit Ausnahme von Silverlight, welches man aber wohl als Totgeburt bezeichnen kann) im Allgemeinen bereits mit normalen Systemzugriffsrechten laufen. D.h. eine Luecke, durch die ich die .NET-Umgebung auf deinem Rechner dazu bringen koennte, unmanaged code auszufuehren, wuerde mir nicht helfen, den Rechner umfassender zu kompromittieren, als er es ohnedies schon durch Ausfuehren der Anwendung ist. Bei Java vertraut der User aber im Allgemeinen darauf, dass das Ding in seiner Sandbox laeuft und auch dort bleibt.


ice-breaker schrieb:
Wenn ich über Emails ein Schadprogramm verbreite, Benutzer dieses aktivieren und es infolge Windows lahm legt, hat doch auch nicht Windows ne Sicherheitslücke... Selbes Prinzip, nur das manche "Browser" unter Umständen so schlau sind (ist aber trotzdem der Benutzer verantwortlich), dass sie, wenn man auf falschen Seiten unterwegs ist, automatisch das Programm aktivieren. (klar kann man das Plugin gewisse Systemberechtigungen entziehen, damit es weniger Schaden anrichten kann, aber das ist doch nicht der Punkt. Man kann nicht alles absichern, sonst hat man keine Funktion)
Zum Vergrößern anklicken....
Du kannst nicht "alles absichern", aber du kannst dem Programm Privilegien entziehen, die es zur ordnungsgemaessen Funktion nicht braucht. Wenn dein hypothetischer Mailvirus Windows lahmlegt oder ein Rootkit in den Kernel nachladen kann, ohne dass ihn der Benutzer mit Administratorrechten aufruft, hat Windows eine Sicherheitsluecke (das Hirn des Users eventuell auch, aber das ist nicht der Punkt).

Empfehle aber allen FF-Usern das Noscript-Plugin.

MfG
 
Dreadslayer schrieb:
Bei .NET & Co gehen die Sicherheitslücken nur nicht derart durch die Medien. Daraus zu schliessen, dass es sicherer ist, ist ein Trugschluss. Jede komplexe Software hat Sicherheitslücken.
Zum Vergrößern anklicken....

Microsoft hat aus seinen vielen Fehlern gelernt. Ich denke, sowohl deren OS als auch das .NET Framework sind weitestgehend sicher.
 
Sorry aber wenn ich das Programm "Hallo ich bin ein Virus.exe" runterlade, ausführe und die UAC für Adminrechte abnicke, dann kann mir auch keiner helfen. Viel schlimmer is es bei Java auch nicht.

Aber vielleicht sollte man echt mal drüber nachdenken bei der Installation von Java das Web-Plugin optional zu installieren, sprich der User muss erstmal einen Hacken reinsetzen mit fetter Warnmeldung davor.

Edit: @GinoBambino: Und selbst wenn Microsoft alle Programmierer, Sicherheitsexperten und Gott persönlich eingestellt hätte, so wäre es unmöglich ein Programm mit der Komplexität völlig fehlerfrei und sicher zu programmieren.
Selbst langjährige Open Source Projekte, wo wirklich einige mehr Augen drauf schauen, sind nicht fehlerfrei.
 
Zuletzt bearbeitet:
Ein System welches wieder in wieder gepatcht wird bzw. werden muss wird nie (mehr) wirklich gut oder sicher sein.
Das ist z.B. auch bei Windows XP der Fall. Das einzige was da hilft ist eine komplett neue Version.. im Falle von Windows war das Vista bzw. 7.

Allerdings sehe ich das ganze nicht so kritisch wenn man mit Java richtig umgeht.
Die Einführung des Sicherheitsmechanismus im Browser Plugin das keine Java Anwendung mehr automatisch gestartet wird (außer wenn Ausnahme hinzugefügt) war schon ein guter und wichtiger Schritt in die richtige Richtung.

Aktiviert man nun das Plugin nur noch bei Bedarf oder surft vielleicht beui Java Aktivitäten noch in einer Sandbox sollte man keine Probleme mit Java bekommen.
 
JuggernautX schrieb:
Ich müsst doch aber zugeben, dass wenn das Browser Plugin deaktiviert ist, man wirklich große Komforteinschränkungen hat oder geht das nur mir so?
Zum Vergrößern anklicken....
echt? ich hab es bereits seit jahren nicht mehr. mir ist noch nie aufgefallen, wo ich das vermissen könnte.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Windows: Neue Sicherheitslücke entdeckt – sie betrifft fast alle Nutzer
Antworten
6
Aufrufe
612
Dachshund
D
Jan
News CacheWarp: Neue Sicherheitslücke mit Heilmittel in CPUs von AMD
2
Antworten
35
Aufrufe
6.480
Merkmal
Merkmal
S
Neue Sicherheitslücke bei Intel?
Antworten
3
Aufrufe
1.309
inge70
inge70
S
News Neue Sicherheitslücke schürt weitere Zweifel an mTAN
2 3
Antworten
58
Aufrufe
11.621
fatony
fatony
Darkblade08
  • Gesperrt
Neue Sicherheitslücke im FlashPlayer (10.0) und Adobe (Acrobat) Reader (ab Ver. 9)
Antworten
1
Aufrufe
1.202
jodd
J
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz