News Weitere Lücke in Java wird bereits ausgenutzt

Elkinator schrieb:
wer hat dir den den blödsinn eingeredet?

Java ist im Moment für "standard" Home und Office Rechner das größte Einfalltor.
Meine internen Statistiken der letzten Jahre beweisen dass. (Antivirus-Management von ~700Rechner auf 3 Jahre)
Und die Tendenz dass eine Java-Lücke der Grund ist, steigt!

Auch einen großen Teil nimmt noch immer sowas simples wie eine *.exe Datei runterladen und manuell ausführen...

Dann kommt der Browser Bug der Saison --> Mit starker mehrheit ein Problem im JavaScript (nicht JAVA Plugin!!) Interpreter des jeweiligen Browsers, da schenkt sich niemand was (IE,Firefox) . (Chrome ist nicht verwendet und nicht in meiner Statistik)

Danach , erst wieder vor kurzem groß ins Ramplenlicht gerückt, ADOBE Programme und manipulierter .swf und .pdf Dateien.

Kann natürlich sein dass bei dir anders ist, aber man sieht doch einen gewissen Trend wenn man genug Geräte monitored.
 
und die leute hatten auch immer eine aktuelle version?
ich kenne ja viele leute die einfach immer einige versionen hinten nach sind, da darf man dann nicht über java schimpfen.
oder leute die keinen aktuellen AV haben, der könnte auch einiges verhindern.

und warum deaktivieren die leute nicht das browserplugin?
ist ja nicht so als ob man das nicht immer wieder lesen würde, mit anleitung wie man das in allen browsern erledigt...
 
Rexus schrieb:
Ich nutze Java schon seit geraumer Zeit praktisch täglich, weil ein Browserspiel auf das Java Plugin (Firefox) angewiesen ist. Ständig lese ich hier neue Berichte, wie unsicher das ganze sei. Bisher ist mir aber noch gar nichts passiert. Ist das alles einfach nur Panikmache?
Nur weil du bisher keine Infektion bemerkt hast heißt das ja nicht, dass du keine hast und auch nicht, dass du keine zu erwarten hast! Das ist wie wenn du sagst "warum machen die jeden Tag Panik im Radio wenn ein Falschfahrer unterwegs ist, mir ist noch nie einer entgegen gekommen!"

Mischu_ schrieb:
Es gibt sicher noch Java Applets in Betrieb ... dies sind jedoch Ausnahmen. Zudem muss wiedermal eines klargestellt sein. Es ist nicht das Applet an sich angreiffbar und dann indirekt der Host, sondern, der Host direkt durch ein Applet. Bedeutet wenn ihr ein Applet auf einer vertrauenswürdigen Seite laufen lasst, ist dies ABSOLUT kein Problem, da das Applet selber "Schadcode" beinhalten muss! Aber ihr ladet ja auch keine .exe oder .sh Datei auf ner fragwürdigen Seite runter und führt diese aus und wundert euch wenn ihr was "kassiert".
Ist doch völlig irrelevant wie oft du java Applets entwickelst. Entscheidend ist nur, dass viele (unbedarfte) Anwender java in ihrem Browser aktiviert haben. Wenn eine Seite gehackt ist, da kann sie normalerweise noch so vertrauenswürdig sein, wenn es gut gemacht ist muss nur der Quellcode eines Appletts ein wenig verändert werden, sodass dem User ein Trojaner untergeschoben wird, wahrscheinlich würde auf den ersten Blick niemand was bemerken.

Natriumkarbonat schrieb:
Das frage ich mich auch immer...
Wenns nicht Adobe oder Java ist, dann Microsoft und Co. :freak:
Das Problem ist, dass Microsoft inzwischen sehr schnell patcht, deren Ruf steht auf dem Spiel und Windows ist sehr wichtig für MS. Oracle und Adobe verdienen ja kaum was mit Java / Flash, die Updatezyklen sind teils grauenhaft oO
 
Zuletzt bearbeitet:
Haben Firefox und Chrome nicht neuerdings automatisch Click to Play für Java Applets aktiviert? Damit ist das Problem doch sowieso nicht mehr existent...
 
ph.n schrieb:
Wenn eine Seite gehackt ist, da kann sie normalerweise noch so vertrauenswürdig sein, wenn es gut gemacht ist muss nur der Quellcode eines Appletts ein wenig verändert werden, sodass dem User ein Trojaner untergeschoben wird, wahrscheinlich würde auf den ersten Blick niemand was bemerken.
Dabei braucht nicht mal die eigentliche Seite gehackt sein, ein Applet lässt sich auch z.B. über einen Werbebanner unterschieben. Dadurch kann es auch passieren, dass nur wenige Nutzer der so komprimierten Seite betroffen sind, weshalb die Sache nicht mal groß aufkommt.
 
Nur weil jemand Elster erwähnte:
Steuererklärungen bekommt mein Finanzamt noch immer per Post (ich habe Elster nie gemocht).
Man kann sich die entsprechenden Formulare ganz locker hier herunterladen und ausdrucken.
https://www.formulare-bfinv.de/
Einfach das/die Richtige/n raussuchen, die Druckansicht speichern (direkt ausdrucken geht leider nicht) und los gehts.

Auch wenns den Herren nicht schmeckt: man kann das auch alles noch offline erledigen. Auf Nachfrage bekommt man die Formulare sogar vom Finanzamt zugeschickt.

Wer die JAVA-Sicherheitslücken umgehen will, der findet auch Wege, solange er nicht wirklich beruflich oder privat drauf angewiesen ist.
 
Zuletzt bearbeitet:
upgedated wird vielleicht nicht täglich, aber mehrere Versionen hinten ist hier auch nicht der Fall, aber ansonsten hast du Recht. Es gibt auch viele Seiten die mit schon längst gepatchten Java-Exploits erfolg haben.

Nicht immer kann man Zeitgerecht nachpatchen, wenn man keinen direkten "Security"-Mann hat. Leute die es halt nebenbei machen müssen auch Hotline schieben und haben 7 auständige Projekte, die bereits letzes Monat fällig sein sollten.

Nur ist es mittlerweile schon so schlimm dass man schon genau hingucken muss ob nicht wieder eine Lücke genau 1 Tag nach patch bekannt geworden ist.

Java war früher in (unserem) PC Standard vorgeschrieben. Eine Liste wer Java benötigt gibt es somit nicht....
Ist nun Dank meiner Zankerei vor einiger Zeit rausgeflogen und seit kurzem wird es automatisch deinstalliert und eine Liste gepflegt mit Leuten die sich dann melden, falls es wirklich gebraucht wird.
Alle anderen Lösungen als komplett deinstallieren sehe ich nur als Teillösung / Workaround, java ist Sicherheitstechnisch für mich gestorben.


Elkinator schrieb:
und die leute hatten auch immer eine aktuelle version?
ich kenne ja viele leute die einfach immer einige versionen hinten nach sind, da darf man dann nicht über java schimpfen.
oder leute die keinen aktuellen AV haben, der könnte auch einiges verhindern.

und warum deaktivieren die leute nicht das browserplugin?
ist ja nicht so als ob man das nicht immer wieder lesen würde, mit anleitung wie man das in allen browsern erledigt...
 
ich hab vor wenigen wochen bei einem freund v7u7 vorgefunden, da ist nie eine updatemeldung gekommen.
 
Hat der vielleicht eine Personal Firewall auf dem PC, die "nach Hause telefonieren" verhindert? Das ist nicht immer zweckmäßig.
 
hab es mir nicht so genau angesehen, aber da er eh bald win8 installieren will (weil er glaubt der alte core2 quad 2,4ghz) wird dadurch schneller war es mir auch egal.

hab halt die aktuellste version installiert.

ich will aber nicht wissen wie viele rechner es gibt aus denen java nicht aktualisiert wird:/
 
Zurück
Oben