News Schwere Sicherheitslücke in Oracle Java 7

Artikel-Update: Oracle hat die schwere Lücke in Java 7 durch Update 11 außerhalb des morgigen Oracle-Patchday geschlossen. Weiterhin wird ab sofort das Sicherheits-Level für unsignierte Java-Web-Apps von mittel auf hoch gesetzt. Damit werden solche Web-Apps nur noch nach einer Nachfrage auf Bestätigung des Nutzers ausgeführt. Ein sofortiges Update ist dringend empfohlen.
 
Scheint also wirklich endlich gefixed zu sein. Allerdings würde mich jetzt interessieren, ob beispielsweise icedtea überhaupt betroffen war oder immer noch ist.
 
Flo0 schrieb:
Also wenn ich auf der Arbeit bei Kunden die Firewallrules nur Temporär setzten würde, würden die mir den Kopf abreisen :D

Das kenne ich auch. Die Firewall die ich persönlich unter XP nutze (Sygate, uralt aber mMn großartig), ist in meinem Bekanntenkreis extrem unbeliebt, weil sie ständig nachfragt, ob Anwendung xy eine Verbindung zu irgendeinen remoteserver aufbauen darf.
Ich sehe das allerdings so, dass dieses "nervige" Verhalten um einiges besser ist, als eine Firewall (z.B. Commodo) die NIE nachfragt, denn bei der habe ich immer den Verdacht, dass sie letztlich nichts blockt, oder den Datenverkehr überhaupt nicht überwacht. Eine solche FW verfehlt mMn irgendwie ihren Sinn.
Da lieber eine FW die mich ständig mit fragen nervt, aber eben auch eine gerade geänderte .exe nicht einfach ins Netz lässt (zuletzt erlebt beim update auf FF18.0).

Leider funzt die Sygate unter Win7 nicht ...

Auf Rechnern für "Kunden" (ich arbeite nicht in dem Bereich, administriere aber dennoch einige Rechner in meinem Bekanntenkreis) installiere ich die Sygate mittlerweile nurnoch auf Wunsch UND wenn der Betreffende schon Erfahrungen mit dem Ding hat sammeln können ... Alles andere führt sehr wahrscheinlich nur zu beschwerden oder Whitelist-Orgien. Da kann man auch die Win-FW benutzen.

Ergo:
Ich bezog mich da auf meinen Privat-PC,
Ich würde keinem einen Scriptblocker empfehlen, wenn der ohnehin ständig alle Scripte erlauben müsste, damit sein Browser so funktioniert wie er es gewohnt ist. Dann macht so'n Ding nämlich ungefähr so viel Sinn, wie ein Fahrrad ohne Räder.
Ich habe gemerkt, dass man in den meisten Fällen nur 1 oder 2 Scripte zulassen muss, damit eine Site ordentlich funktioniert. Und diese Scripte erkennt man oft recht leicht (z.B am Namen oder per trial&error - "aha, das war's also nicht" -> script wieder verbieten).
Außerdem surfe ich eh nur sandboxed, also "vergisst" mein Browser (inkl. NoScript) alle Einstellungen sowieso wieder.

Ist aber alles OT, sorry for that.
 
Zuletzt bearbeitet:
So behindert... man kann das update nicht herunterladen, wenn java-script in opera deaktiviert ist O.o
 
DerOlf schrieb:
Die Firewall die ich persönlich unter XP nutze (Sygate, uralt aber mMn großartig), ist in meinem Bekanntenkreis extrem unbeliebt, weil sie ständig nachfragt, ob Anwendung xy eine Verbindung zu irgendeinen remoteserver aufbauen darf.

Das fand ich an Zonealarm unter XP auch gut.

Ich sehe das allerdings so, dass dieses "nervige" Verhalten um einiges besser ist, als eine Firewall (z.B. Commodo) die NIE nachfragt, denn bei der habe ich immer den Verdacht, dass sie letztlich nichts blockt, oder den Datenverkehr überhaupt nicht überwacht. Eine solche FW verfehlt mMn irgendwie ihren Sinn.
Da lieber eine FW die mich ständig mit fragen nervt, aber eben auch eine gerade geänderte .exe nicht einfach ins Netz lässt (zuletzt erlebt beim update auf FF18.0).

Die Windows-Firewall ist leider ebenso schweigsam...
 
Update ist drauf, bei den Plug-Ins in Chrome (z.B.) steht aber immer noch Java 10 nicht 11. Muss man das extra aktualisieren oder weicht das von der Versionsnummer ab?
 
im FF steht auch noch 10.9.25
 
DerOlf schrieb:
... als eine Firewall (z.B. Commodo) die NIE nachfragt, denn bei der habe ich immer den Verdacht, dass sie letztlich nichts blockt, oder den Datenverkehr überhaupt nicht überwacht.
Man kann die Firewall (Comodo) auch so konfigurieren, das man mit Meldungen überflutet wird. Das ist aber nicht so voreingestellt, weil es viele User zum Anfang abschrecken würde. Man muss immer einen Kompromiss aus Sicherheit und Nerv-Faktor eingehen.

DerOlf schrieb:
Da lieber eine FW die mich ständig mit fragen nervt, aber eben auch eine gerade geänderte .exe nicht einfach ins Netz lässt (zuletzt erlebt beim update auf FF18.0).

Bei einer veränderten Datei sollte eher der Verhaltens-Schutz aktiv werden und nicht die Firewall. Vor allem dann nicht, wenn sich die Verbindung nicht verändert hat. Aber auch das lässt sich konfigurieren.
 
Die Firewall die ich persönlich unter XP nutze (Sygate, uralt aber mMn großartig),

Mit so einer veralteten Firewall (die genauso schwere Sicherheitslücken hat wie Java) noch im Internet zu surfen
ist schon grob fahrlässig.
 
Hi,

Mit so einer veralteten Firewall (die genauso schwere Sicherheitslücken hat wie Java) noch im Internet zu surfen ist schon grob fahrlässig.

Im Grunde reicht schon die ganz normale Windows-Firewall aus. Wäre vielleicht die bessere Wahl.

@Topic

Habe auch das Update aufgespielt. Bein mir wird angezeigt "SE7 U11". Scheint also zu passen.

VG,
Mad
 
fethomm schrieb:
News-Update: Oracle hat die schwere Lücke in Java 7 durch Update 11 außerhalb des morgigen Oracle-Patchday geschlossen. Weiterhin wird ab sofort das Sicherheits-Level für unsignierte Java-Web-Apps von mittel auf hoch gesetzt. Damit werden solche Web-Apps nur noch nach einer Nachfrage auf Bestätigung des Nutzers ausgeführt. Ein sofortiges Update ist dringend empfohlen.

Wo genau in den Release Notes liest du heraus, dass die Schwachstelle geschlossen ist?
 
@DunklerRabe
"This release contains fixes for security vulnerabilities. For more information, see Oracle Security Alert for CVE-2013-0422."
 
Jaja, schon klar. Und dann liest man weiter und da kommt genau nichts. So wie ich vorhin auch schonmal erwähnte. In dem Security Alert steht auch nichts weiter.

Die zitierte Aussage heisst für micht NICHT, dass es gepatcht wurde.
 
Bei mir steht immernoch Java SE 7 U5 im Firefox , das kann nicht stimmen oder ? Das Java Update ist drauf....
 
Rhoxx schrieb:
So behindert... man kann das update nicht herunterladen, wenn java-script in opera deaktiviert ist O.o

Javascript und Java haben nichts miteinander zu tun, die heissen nur ähnlich.
 
Toecutter schrieb:
Javascript und Java haben nichts miteinander zu tun, die heissen nur ähnlich.

Er hat überhaupt nicht behauptet, dass Javascript etwas mit Java zu tun hätte. Lies mal richtig.
 
DunklerRabe schrieb:
Jaja, schon klar. Und dann liest man weiter und da kommt genau nichts. So wie ich vorhin auch schonmal erwähnte. In dem Security Alert steht auch nichts weiter.

Die zitierte Aussage heisst für micht NICHT, dass es gepatcht wurde.

Ich lese im Security Alert:
"This Security Alert addresses security issues CVE-2013-0422 (US-CERT Alert TA13-010A - Oracle Java 7 Security Manager Bypass Vulnerability) and another vulnerability affecting Java running in web browsers."
 
Ich hätte mal eine Frage bezüglich des News-Titels...
Tuts "in Oracle Java 7 Web-plugin" nicht auch? Java selbst hat/hatte keine Lücke und das Web-Plugin ist sowieso zu deaktivieren, es sei denn man braucht es unbedingt und dann sollte man gut aufpassen wo man es wüten lässt.
 
Zurück
Oben