News Oracle schließt 37 Sicherheitslücken in Java

TrueAzrael schrieb:
Nach genauerem Lesen der Quelle scheint sich selbst Oracle darüber auszuschweigen wo im Java SE die Lücken anzusiedeln sind, aber der gesunde Menschenverstand, sagt einem dass es eigentlich nur das Plugin sein kann.
Kannst du das näher erläutern? Sicher ist der Browser die einfachste Angriffsfläche. Heißt aber nicht, dass Sicherheitslücken an anderen Fronten weniger kritisch sind bzw. weniger möglich sind.
 
Zuletzt bearbeitet:
Java ist eine Sprache und kein Programm. Die Java SE liefert API/Bibliotheken für Programme die mit Java geschrieben wurden. Der einzige Teil der Java SE, der auf das Netz zugreift ist meines Wissens das Java-Plugin.

Es kann also ein auf Java basiertes Programm wie z.B. jDownloader Fehler haben, nicht aber Java an sich.


Steinigt mich wenn ich falsch liege.

Edit: Bildlicher Erklärungsversuch: Du(Java-Plugin) lässt deine Freunde also in den Garten(Browser) und gibst ihnen den Fußball(Java-API/-Bibliotheken), lässt sie damit aber nicht ins Haus(Betriebssystem) rein. Versagst du dabei, deine Freunde mit dem Fußball aus dem Haus fern zu halten und es wird der Fernseher niedergeschossen, dann kann der Fußball im Prinzip nichts dafür.
 
Zuletzt bearbeitet:
Hmm

also ich habe Java 8 schon eine weile installiert... wenn auch nur für wuala...
http://www.chip.de/downloads/Java-Runtime-Environment-32-Bit_13014576.html (Anscheinend sogar Final)
http://www.chip.de/downloads/Java-Runtime-Environment-64-Bit_42224883.html (Anscheinend sogar Final)

Und auf der Java Seite steht dann das
Bevor wir Endbenutzern das neue Release von Java auf der java.com-Website zum Download bereitstellen, wird es zuerst Entwicklern zur Verfügung gestellt, um sicherzustellen, dass keine schwerwiegenden Probleme auftreten. Wenn Sie Interesse an einer Testversion von Java 8 haben, können Sie diese von Oracle.com herunterladen.
https://www.java.com/de/download/faq/java8.xml

Ich versteh in dem Fall unter Testversion irgendwie was anderes als Final... oder täusch ich mich da
 
Zuletzt bearbeitet:
@TrueAzrael
Java bietet noch viele andere Möglichkeiten zur Kommunikation. Java RMI, Sockets, wenn du einen Service mit TLS implementierst und die mitgelieferte library (wie bei openssl) fehlerhaft ist, hast du auch ein riesen Problem (auch gerade im Business Bereich)... Es gibt aber noch andere Angriffe als übers Netzwerk. Außerdem gehst du davon aus, dass die JVM sicher ist. Was ist wenn Programme ausbrechen können? Was ist wenn die JVM nicht geschützt ist, so dass andere Programme einbrechen können und Informationen auslesen können etc...Da gibt es so ziemlich unendlich viele Angriffsszenarien. Wie realistisch diese Szenarien sind, kann ich nicht wirklich beurteilen, deshalb frage ich und meinte ich ja auch, dass das Plugin wohl nur der einfachste Einstiegspunkt ist.
 
@BlooDFreeZe: Sind wohl für die breite Masse uninteressant. Mich stört eigentlich nur, daß die meist falsche Verwendung von Java-Bugs für Bugs im Plug-in dazu führt, dass Leute unbegründete Panik vor Javaprogrammen bekommen. Bestes Beispiel dürfte Hier im Forum JDownloader sein.

@Teiby: C/++ hat auch keine Relevanz für über den Browser interpretierten Code. Zumindest gibt es kein von der breiten Masse verwendetes Plug-in für C/++.
 
@hanschke: Kein Problem. :)

@luckysh0t: Naja, Onkel Wiki behauptet ja auch, dass Java 8 schon seit dem 18.März releast worden ist und eine "Veröffentlichung" ist für mich immer die Final. Vielleicht kommt die offizielle Veröffentlichung für den Endkunden (also die Standalone Runtime Environments) auch mit dem heutigen Update?
Scheint sich jedenfalls bis jetzt noch immer nichts getan zu haben...

@BlooDFreeZe: Vielleicht Windowsupdates? Abgesehen davon gibt es wie TrueAztael bereits erwähnt hat, kein populäres C/++ Plugin.

@TrueAzrael: Ja, das seh ich genauso. Man sollte doch meinen, die Leute aus einem Computerforum würden den Unterschied zwischen einem Plugin und einer Programmiersprache kennen.
Ich hab auch nichts gegen das Java Plugin, auch wenn ich das nur auf ausgewählten Seiten wie z.B. intel.com nach einer (Neu-)Installation benutze, um nach Treibern automatisch suchen zu lassen...
Für was gibt es denn diese ganzen Sicherheitseinstellungen, die man machen kann, wie z.B. im Java Control Panel selber, dass man nur bestimmte Seiten überhaupt erlaubt, das Plugin bei Nichtbedarf wieder deaktivieren, Click to Play im Browser aktivieren und dann noch NoScript und meinetwegen Request Policy und/oder eine Sandbox benutzen kann?

Aber manche kriegen schon vom Flashplayer Panikattacken, obwohl man auch dort mit Click-To-Play, Skriptblockern und/oder Sandboxen/VMs meiner Meinung nach mehr als ausreichend geschützt ist, zumal viele ja sowieso nur auf vertrauenswürdige Seiten herumsurfen und wenn Youtube mal tatsächlich so stark komprimitiert werden würde, dass nichtmal diese Maßnahmen dagegen helfen würden, da kann man auch gleich das ganze Internet RQ.
 
Das musst du jemandem der C++ programmiert nicht sagen, aber danke für die Infos?! I guess?!?!?
 
(Gerne doch?)
Das wusste ich nicht, aber deswegen müssens die multiplen Satzzeichen hintereinander auch nicht unbedingt sein, oder?


Noch immer kein Update...
 
Jedes Programm, dass in C++ geschrieben ist wird in Maschinencode übersetzt und der darf grundsätzliche alles was das Betriebssystem erlaubt - also z.B. den kompletten Festplatteninhalt an einen NSA-Server senden und einen Keylogger im Hintergrund installieren, der die Passworteingaben des Anwenders mitloggt. Dieses Risiko geht grundsätzlich jeder ein, der von irgendwo eine .exe Datei herunterlädt und startet.

Es sind lediglich die Browser-Plugins for Java, die kritisch sind. Aber die Desktop-VM kann man getrost installieren - solange man sich darüber bewusst ist, dass Programmdateien mit der Endung ".tar" oder ".class" auch nicht sicherer sind als solche mit ".exe"
 
Bähh, immernoch Java 7 Update XX (55 mittlerweile) empfohlen...
Was würde sich eigentlich eher sicherheitstechnisch gesehen lohnen, wenn beides voll funktionstüchtig laufen würde? Java 7 oder Java 8?
Würd dann ggf. noch ein wenig mit der (Neu-)Installation warten. Kommt dann bei Java 8 auch so ein Updatezusatz wie bei Java 7? Falls ja: Wo bleiben die Updates? Falls nein: Sind die Updates schon für Java 8 schon erschienen? Falls wieder nein: Siehe erste Frage. Falls hingegen ja: woran erkennt man das?
edit: Fragen im durchgestrichenen Text beantwortet, ich nehm dann einfach mal Java 8 Update 5 und teste wies läuft. :)
 
Zuletzt bearbeitet:
TrueAzrael schrieb:
Die Java SE liefert API/Bibliotheken für Programme die mit Java geschrieben wurden. Der einzige Teil der Java SE, der auf das Netz zugreift ist meines Wissens das Java-Plugin.

Es kann also ein auf Java basiertes Programm wie z.B. jDownloader Fehler haben, nicht aber Java an sich.

Steinigt mich wenn ich falsch liege.
steinig*steinig*steinig
Zu Java SE gehören u.a. der Compiler und das Java Runtime Environment. Das ist die Java VM + eine ganze Menge drumherum und da wird auch aufs Netz zugegriffen und dabei kann viel schief gehen.

Beispiel:
Du schreibst ein kleines Java-Programm (nix Applet, nix Browser, nix Plugin) und machst in dem Programm einen java.net.Socket auf um an "www.computerbase.de:80" ein Posting zu schicken.

Nun denken wir uns mal paar mögliche Fehler an verschiedenen Stellen von Java SE aus:
1.) die Java-VM könnte von jedem auf ihr ausgeführten Code eine Kopie an $BigBrother schicken. Fehler in der VM.
2.) die Java Runtime könnte "aus Versehen" eine Kopie jedes von dir via java.net.Socket versandten Bytes an $BigBrother schicken. Fehler in der Runtime.
3.) javac könnte so manipuliert sein, daß er schon beim Übersetzen deines Codes in Java-Bytecode immer Code hinzufügt, der dafür sorgt, daß deine Programm-Ein/Ausgaben immer als Kopie an $BigBrother gesandt werden. Fehler im Java-Compiler.

Du siehst: Es gibt viele Stellen in Java SE, die dafür sorgen können, daß dein eigentlich korrektes Javaprogramm etwas ganz anderes tut als du programmiert hast. Mein Beispiel enthält grobe, absichtliche Bugs. Es gibt natürlich auch unbeabsichtigte. Was glaubst du wohl, wer z.B. die Zertifikate überprüft, die Zufallszahlen generiert und die Krypto macht, wenn du in deinem Progrämmchen eine SSL-Socket für die gleiche Aufgabe genommen hättest? Das sind hochkomplexe Dinge, die alle in JavaSE drin strecken und buggy sein können.
 
Zuletzt bearbeitet:
performi schrieb:
wie, für den Jdownloader ?
Oder für das Intel Driver Update Utility. :D
Wobei letzteres noch nicht mit Java 8 zu laufen scheint, weil das IntelRequirements-Dingsbumbs vom Januar ist, Java 8 aber irgendwann im März releast worden ist. Allerdings hab sowieso nicht vor, in nächster Zeit ein System neu aufzusetzen oder Treiber upzudaten. :D

Und wenn man die Security deinstallieren muss, dann such ich mir halt Alternativen (vom auszuführenden Programm und von der Security selber). Ist aber schon länger her, dass ich so große Inkompatibilitäts-Probleme hatte. :D
 
Zurück
Oben