News Schwere Sicherheitslücke in Oracle Java 7

@AntiGhostWriter
Hab ich heute morgen im Werbebanner von Avira auch schon gelesen
 
Ich will niemanden beleidigen, aber es macht irgendwie Angst wieviel Halbwissen oder sogar Unwissen hier Wellen schlägt. Habe mir mal die genau vulnerabilty hier angeschaut.

Ich bin seit bald 10 Jahren Java Entwickler und finde es auch nicht nur toll was Oracle generell tut und lässt (wäre mir Sun auch lieber gewesen). Aber dieses leak ist nur dann tragisch wenn ihr auf irgendwelchen fragwürdigen Seiten ein Applet startet. Bei DHL oder anderen seriösen Seiten ist das KEIN Problem.

Es sind nicht die Applets selber angreiffbar!! Das Problem liegt darin, dass Applets verwendet werden können um mehr Zugriff zu erlangen, als eigentlich erlaubt wäre (was aber z.B. DHL sicher nicht tun wird). Und lokale Desktop Applikationen ist die Sicherheit genauso gewährleistet wie bei .NET oder anderen Technologien.

Schnell eine kleine Erklärung was ein Applet ist ... Dies ist eine Java Applikation welche durch den Browser transferiert, aber danach lokal ausgeführt wird. Sie unterliegt von den Berechtigungen her mehr Beschränkungen als ein "wahrer" lokaler Prozess und dort ist dieses leak.

Aber mal eine Frage in die Runde ... wie oft geschieht es, dass jemand irgendwie eine ".exe" runterlädt und dann startet? Ist von ser Sematik her fast dasselbe. Ich kann mich noch an Zeiten erinnern wo mir Leihen gesagt haben, sie starten keine ".exe" Datei, da dies immer Schadsoftware seih ... aber sobald diese Applikation dann schön kaschiert im Startmenü war, wars dann kein Problem mehr ... sorry, aber gewisse Posts hier erinnnern mich stark daran.

Btw. ich finde es wie gesagt absolut auch nicht ok wie bei Oracle mit sowas umgegangen wird. Aber man darf nicht vergessen, dass der Ansatz der Applets eh seit langem überholt ist (ok JavaFX, aber der Erfolg ist fraglich), da er bei anderen Punkten auch mehr Nachteile als Vorteile bietet. Dementsprechend ist durch die eher seltene Verwendung von Applets heutzutage, dieses leak eher selten ein Problem.
Aber wer auf Fragwürdigen Seiten etwas anderes als HTML darstellen zulässt ist meines Erachtens selber schuld (oder weiss es halt nicht besser).

In diesem Sinne...
 
anonymous_user schrieb:
Hast du so ein Script Blocker denn schonmal benutzt?
Getestet und für Mist befunden. Behindert mich weitaus mehr als es nutzt.

Ich benutze sowas nun schon sehr lange, und ich muss sagen, das hilft richtig weiter. Du hast da glaub ich was falsch verstanden, weil soweit ich das aus der Vergangenheit mitbekommen habe, wird zwar auf bspw. wetter.com nen Trojaner ausgeführt, wird da immer nachgeladen, was allerdings von externen Skripten passiert. Das sehe ich mit einem Scriptblocker aber sofort.
Das fällt größtenteils unter XSS und wird von jedem anständigen Browser eh geblockt.
Um die XSS-Sperre zu umgehen musst du wiederum so viele Änderungen am Code vornehmen, dass du auch gleich deine Schadcode-Logik lokal einbinden kannst und du somit Scriptblocker doch wieder aushebelst.
 
Oh mein Gott... mein BD-Player, mein Fernseher, meine Waschmaschine, mein Auto, mein Tablet, mein Handy, mein Drucker, meine Kamera... alle infiziert!
:D
 
ScriptBlocker sind nicht sicher - Sicherhiet ist IMMER eine Illusion - aber einen Scriptblocker zu nutzen ist allemal sicherer als jede Seite jedes Script einfach ausführen zu lassen.

Zu Whitelists:
Wer die nutzt ist selbst Schuld. Man sollte NICHTS Dauerhaft erlauben, weder bei einer Firewall, noch bei einem Scriptblocker, denn es besteht iommer die (mMn unmöglich zu überschätzende) Gefahr, dass sich zugelassene Scripte ändern (oder Teile von Programmen durch das letzte Update plötzlich für Angriffe genutzt werden können).

Daher ein Tipp an Nutzer von Scriptblockern: SCRIPTE IMMER NUR TEMPORÄR ERLAUBEN (besonders wenn sich Scripte auf ganze Scriptbibliotheken beziehen, wie z.B. jquery). Eure Wohnungstür macht ihr ja auch wieder zu, wenn die Gäste erstmal drin sind.

Allerdings sind Java und JavaScript zwei unterschiedliche Sachen, daher hat eine Diskussion über den Nutzen von Scriptblockern hier (in einem Thread über eine Sicherheitslücke namens Java) eigentlich nix zu suchen.
 
Zuletzt bearbeitet:
DerOlf schrieb:
Daher ein Tipp an Nutzer von Scriptblockern: SCRIPTE IMMER NUR TEMPORÄR ERLAUBEN (besonders wenn sich Scripte auf ganze Scriptbibliotheken beziehen, wie z.B. jquery). Eure Wohnungstür macht ihr ja auch wieder zu, wenn die Gäste erstmal drin sind.

Allgemein Scripte nur temporär erlauben stelle ich mir sehr nervig vor, wenn man noch dadurch dazu geneigt ist sowieso ständig es temporär zu erlauben, kann man sich das auch sparen.

Davon mal abgesehen, wie will man auf die schnelle ein Script auf einer Seite die man regelmäßig besucht vor ausführen auf eine schadhafte Änderung überprüfen?

Da lässt man doch mehr Nerven als alles andere ;)
 
GTR schrieb:
Mono wird garantiert nicht in Enterpriseanwendungen eingesetzt.
Aus was besteht denn die Unity3D Engine und die ganzen Spiele die darauf basieren? Demnächst kommt auch noch die Paradox3D Engine hinzu, die ebenfalls auf Mono basieren wird.

Mono arbeitet aber auch in solch schöner Hardware wie diesem Radio hier: Sirius Stiletto

Mono kommt sogar im medizinischen Bereich der Firma MedSpehre zum Einsatz.
Von den ganzen Webseiten, die Mono als Backend einsetzen möchte ich gar nicht mal reden.

Es ist also ganz und gar nicht so, dass Mono nicht im Enterpriseumfeld eingesetzt wird.
 
Also wenn ich auf der Arbeit bei Kunden die Firewallrules nur Temporär setzten würde, würden die mir den Kopf abreisen :D
 
noxon schrieb:
Aus was besteht denn die Unity3D Engine und die ganzen Spiele die darauf basieren? Demnächst kommt auch noch die Paradox3D Engine hinzu, die ebenfalls auf Mono basieren wird.

Mono arbeitet aber auch in solch schöner Hardware wie diesem Radio hier: Sirius Stiletto

Mono kommt sogar im medizinischen Bereich der Firma MedSpehre zum Einsatz.
Von den ganzen Webseiten, die Mono als Backend einsetzen möchte ich gar nicht mal reden.

Es ist also ganz und gar nicht so, dass Mono nicht im Enterpriseumfeld eingesetzt wird.

Ich würde keines deiner Beispiele als Enterpriseumfeld bezeichnen.
 
noxon schrieb:
Von den ganzen Webseiten, die Mono als Backend einsetzen möchte ich gar nicht mal reden.

Ich möchte hier jetzt keine Religionsdiskussion starten ... aber welchen Sinn bitte macht ASP .NET + Mono + z.B. Linux? Rich Clients mit Mono ... okay ... Aber zentralisierte Systeme wie Webapplikationen auf ne andere Plattform zu portieren macht doch null Sinn. Ich bin nur in Visual C++ einigermassen bewandert, deshalb meine Frage ... da ich Systemökonomisch keinen Vorteil sehe einen IIS auf was anderem OS als Windows laufen zu lassen. (wenn das überhaupt funktioniert)

Sorry für meine begrenzte Erfahrung in MS Techs. ;)
 
@noxon
Welches von deinen genannten Beispielen hat jetzt nochmal etwas mit Enterprise-Anwendungen zu tun?
 
motzerator schrieb:
Man kann Libre Office auch wunderbar ohne java benutzen, ein paar selten benötigte Funktionen fallen weg, nichts was ich jehmals gebraucht hätte:

Man kann auch einfach Java 6 u38 installieren. Das ist ganz aktuell, das Update 38 kam gerade erst raus, und es läuft hervorragend.
Anscheinend scheint Oracle auch zu wissen, dass ihr Java 7 teilweise ziemlicher Müll ist, weshalb würden sie sonst immer noch neue Updates für Java 6 anbieten, obwohl Java 7 schon beim 10. Update angelangt ist...
 
etheReal schrieb:
Anscheinend scheint Oracle auch zu wissen, dass ihr Java 7 teilweise ziemlicher Müll ist, weshalb würden sie sonst immer noch neue Updates für Java 6 anbieten, obwohl Java 7 schon beim 10. Update angelangt ist...
das liegt nicht daran.
 
Elkinator schrieb:
das liegt nicht daran.

Nope ... vorallem daran, dass eine Migration / ein Upgrade von Java 6 auf 7 aus mehr besteht als nur eine neue JVM zu installieren.

Ich persönlich kenne keine Firma die Enterprise Applikationen bereits mit Java 7 entwickelt ... auch aus dem Grund, dass im Moment noch quasi keine Middleware (Applikationserver ... ) auf Java 7 verifiziert ist. Einziger Grund für Java 7 ist im Moment JavaFX und dies auch nur bedingt ...

Edit: Wer viel mit Threads entwickelt ... noch wegen forke
 
Zuletzt bearbeitet:
Mischu_ schrieb:
Nope ... vorallem daran, dass eine Migration / ein Upgrade von Java 6 auf 7 aus mehr besteht als nur eine neue JVM zu installieren.
ich wollte es nicht so weit ausführen;)

mich stören solche meldungen von "müll" einfach immer, da merkt man aber wenigstens gleich wie ernst man die meldung nehmen kann^^

privat verwende ich schon die 8er beta, die war anscheinend nie von der lücke betroffen
Java v8b72

heute bin ich der linkmann!
 
Unter SUN wäre sowas undenkbar gewesen... Oracle sieht Java aber nur als Milchkuh.... in das man nur wenig Aufwand stecken muss.
Abartig sowas... aber was erwartet man sonst von so einer Gelddruck-Maschine wie Oracle.
Mir persönlich sogar noch unsympathischer als Apple, denn Apple, obwohl sehr xemophob gegen andere Firmen, bringt wenigstens Innovationen raus... zumindest damals.
 
SoilentGruen schrieb:
Unter SUN wäre sowas undenkbar gewesen... Oracle sieht Java aber nur als Milchkuh.... in das man nur wenig Aufwand stecken muss.
Abartig sowas... aber was erwartet man sonst von so einer Gelddruck-Maschine wie Oracle.
Mir persönlich sogar noch unsympathischer als Apple, denn Apple, obwohl sehr xemophob gegen andere Firmen, bringt wenigstens Innovationen raus... zumindest damals.
was wäre undenkbar?
das schon nach wenigen tagen ein update bereit steht?

wenn du java nicht magst hab ich für dich einen geheimtipp!
java deinstallieren und auf software die java benötigt einfach verzichten.
z. libre/openoffice

man kann ohne großen einschränkungen auch ohne java auskommen, die meiste software braucht es eh nicht.
 
Zuletzt bearbeitet:
Zurück
Oben