Oracle JAVA 7 Update 11

[MOS1509]

Hallo liebe CB-Gemeinde,

über die aktuelle Sicherheitslücke hat das CB-Team ja ausführlich berichtet.
https://www.computerbase.de/2013-01/schwere-sicherheitsluecke-in-oracle-java-7/

Nun hat sich bei mir gerade das Update 11 installiert. Firefox gibt nun keine Warunung mehr aus.

Weiß jemand von euch, ob mit Update 11 die Sicherheitslücke geschlossen wurde ?

 

[BlubbsDE]

Nein.

Warum gibt Dein FF keine Warnung aus. Genau das macht das Update. Mehr auch nicht.

Es fragt vorher erst nach, ob das Java Applet, was gerade im Browser geladen wurde, auch wirklich gestartet werden soll.

 

[Trefoil80]

Doch, das Sicherheitsproblem ist damit behoben.

http://en.wikipedia.org/wiki/Java_version_history#Java_7_updates

 

[MOS1509]

Naja, laut CB ist JAVA 7 bis hin zum Update 10 betroffen, darum meine Frage, ob Update 11 die Sicherheitslücke schließt. Bei Version 10 hat mein Firefox bei der Anzeige der Plug-Ins eine Sicherheitswarnung ausgegeben, seit Installation von Update 11 nicht mehr.

 

[DunklerRabe]

Es ist alles bis 7u10 betroffen, weil das die aktuellste Version war. Laut Oracle wurde der Fehler nicht behoben, damit ist jetzt dann auch 7u11 betroffen.

 

[BlubbsDE]

Diese Meldung kam jetzt hinzu. Über alle Browsergrenzen hinweg. Sie sollte auch bei Dir erscheinen. Aber eben erst dann, wenn ein Java Applet starten will.

 

[kibotu83]

das nächste update müsste dann im April kommen, wenn Sie kein Hot-Fix nachschieben

 

[DunklerRabe]

Ich hab jetzt sicherheitshalber nochmal bei Oracle nachgeschaut. Ich würde nach wie vor sagen es wurde nicht gepatcht.

Wer will kann ja selbst mal nachlesen.
7u11 Changelog: http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html
CVE-2013-0422 Security Alert: http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

Das ist ein wenig verklausuliert, aber meiner Meinung nach steht da nicht "Ja, wir haben das Problem behoben!".

 

[Husky90]

Ich hab jetzt sicherheitshalber nochmal bei Oracle nachgeschaut. Ich würde nach wie vor sagen es wurde nicht gepatcht.

Wer will kann ja selbst mal nachlesen.
7u11 Changelog: http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html
CVE-2013-0422 Security Alert: http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

Das ist ein wenig verklausuliert, aber meiner Meinung nach steht da nicht "Ja, wir haben das Problem behoben!".

Wofür ist den dann das Update?

 

[DunklerRabe]

Es ist das reguläre Java Update gemäß Oracles Patchzyklus und macht das, was im Changelog steht. Ich weiß nicht ob das irgendwo noch detaillierter aufgeführt ist.

 

[Morku]

Anhang anzeigen 315573

Diese Meldung kam jetzt hinzu. Über alle Browsergrenzen hinweg. Sie sollte auch bei Dir erscheinen. Aber eben erst dann, wenn ein Java Applet starten will.

Oracle hat einfach im Reiter Sicherheit den Regler von Mittel auf Hoch gesetzt.

 

[Husky90]

Das blöde ist eben nur, dass man umbedingt auf Java angewiesen ist für bestimmte Sachen oder gibt es eine Alternative?

 

[BlubbsDE]

Nein, gibt es nicht.

Und wenn man das Ausführen von Applets nur auf diesen Seiten zulässt, dann kann oder sollte eigentlich auch kein Schaden entstehen.

 

[fj2604]

Hallo,
Wie 'ZDNet' unter Berufung auf das 'Oracle Security Alert' berichtet, hat das Unternehmen nun das Update 11 veröffentlicht, dieses schließt die Lücke mit dem Identifikationscode CVE-2013-0422. Details zu der aktuellsten Schwachstelle aus diesem noch jungen Jahr verrät Oracle allerdings nicht.

Der Standard-mäßig gesetzte Java Security Level lautet nun "hoch", bisher war die Default-Stufe auf "mittel". Das bedeutet, dass der Nutzer nun die Ausführung von unsignierten Java-Web-Apps stets explizit bestätigen muss, die mittlere Stufe bedeutete bisher, dass diese ungefragt ausgeführt worden sind, solange man die aktuellste Java-Version am Laufen hatte.

für mich heißt das, die schwachstelle ist noch vorhanden und ich lass Java bei mir runter.
gruss

 

[skillless]

Wenn man die Releasenotes genau liest, wird man feststellen, dass lediglich das Sicherheitslevel von mittel auf hoch geändert wurde und somit der Nutzer selbst entscheiden muss, ob er den genannten Code ausführen möchte oder nicht. Gefixt ist das Problem dadurch nicht.

Area: deploy
Synopsis: Default Security Level Setting Changed to High
The default security level for Java applets and web start applications has been increased from "Medium" to "High". This affects the conditions under which unsigned (sandboxed) Java web applications can run. Previously, as long as you had the latest secure Java release installed applets and web start applications would continue to run as always. With the "High" setting the user is always warned before any unsigned application is run to prevent silent exploitation.