Schwere Sicherheitslücken in Java

Seite 1 von 3 1, 2, 3  Weiter

Vorheriges Thema anzeigen Nächstes Thema anzeigen Nach unten

Schwere Sicherheitslücken in Java

Beitrag  lupu am Sa 01 Sep 2012, 09:09

DerSpiegel berichtet über Sicherheitslücken in Java 6.0, die Oracle aber inzwischen mit einem Patch gestopft haben soll.

http://www.spiegel.de/netzwelt/web/java-oracle-warnt-vor-schweren-sicherheitsluecken-a-853092.html

Überprüfung mit Testseite von Oracle: http://www.java.com/de/download/testjava.jsp

In wie weit das auch OpenJava/IcedTea betrifft geht aus dem Artikel nicht hervor.
Ich kann es momentan nicht testen, weil es nicht installiert ist.
avatar
lupu

Anmeldedatum : 15.08.11
Alter : 67
Ort : unterwegs

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  Coyote am Sa 01 Sep 2012, 11:24

Ich empfehle - auch ohne Sicherheitslücke - Java im Browser standardmäßig abgeschaltet zu lassen (den Flashplayer auch).

Firefox:
Bearbeiten/Einstellungen/Inhalt: "Java aktivieren" abhaken. Schaltet die Browsereigene Java-Engine ab (falls vorhanden).
Zusätzlich gibt es Java noch als Plugin: Extras/Add-ons/Plugins: "Java Plugin" auf deaktivieren klicken. Hier können mehrere Java Plugins enthalten sein.

Drauf achten: Java ist nicht Javascript.

Coyote
Roadrunner-Jäger
Roadrunner-Jäger

Anmeldedatum : 01.08.11

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  tno am Sa 01 Sep 2012, 11:51

In IcedTea seit dem 29. gefixt.

http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2012-August/020083.html

Mal schauen wie lange es dauert bis es in den Distributionen ankommt.

tno

Anmeldedatum : 28.01.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  Blindenhund am Sa 01 Sep 2012, 12:36

IcedTea wurde gestern upgedatet.

Blindenhund
Gelöschter Benutzer

Anmeldedatum : 01.08.11
Ort : /dev/sofa

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  NeXxGeN am Sa 01 Sep 2012, 13:51

tno schrieb:Mal schauen wie lange es dauert bis es in den Distributionen ankommt.
Die viel spannendere und wichtigere Frage lautet allerdings, mal sehen wann die nächste Lücke bekannt wird. Vorhanden ist sie definitiv schon ;)

Java hat im Browser nichts verloren, wenn man mich fragt, weswegen ich auch etwas verstimmt bin das es bei LM direkt mit installiert ist, so was sollte gerade bei Linux nicht sein. Erstmal Sicherheit, wenn die Benutzer es dann immer noch, besseren Wissens, nutzen wollen, bitte schön.

Just my 2 Cents

NeXxGeN

Anmeldedatum : 29.08.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  L am Sa 01 Sep 2012, 15:35

Dazu fällt mir eine Cyberspace-Geschichte ein.

Hans und Gretel haben sich bei ihrem Discounter im kleinen Wohnort Höhensonne ihre Notebooks erworben.
Als stolze Besitzer gehen sie alsbald auf Navigationstour. Aber eigentlich nur, um ausschliesslich ihre Ortszeitung sowie die Angebote von Träum-Fern, ihrem örtlichen Reisebüro, nun digital lesen zu können. Über das Ortsradio des Computerclubs wurden sie letzthin auf die Aktualisierung von Java für ihre Computer dringend hingewiesen. Da weder Hans noch Gretel über technisches Hintergrundwissen verfügen, sehen die beiden der Information zunächst gelassen entgegen. Doch Gretel ist wissbegieriger wie Hans. Sie möchte wissen, ob sie sich tatsächlich einer Gefahr aussetzt, wenn sie über keine "speziell präparierte Webseite" surft, worauf sich einschlägige Sicherheitswarnungen beziehen. Und Hans fragt sich inzwischen, wozu es überhaupt eines Java Plug-in in Webbrowsern bedarf?

Wer möchte die Geschichte fortsetzen?


Zuletzt von Lobito am Sa 01 Sep 2012, 15:42 bearbeitet; insgesamt 1-mal bearbeitet

L

Anmeldedatum : 03.08.11
Ort : /dev/L

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  L am Sa 01 Sep 2012, 15:35

Blindenhund schrieb:IcedTea wurde gestern upgedatet.
Iced Tea..., einfach lecker! Smile

L

Anmeldedatum : 03.08.11
Ort : /dev/L

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  Blindenhund am Sa 01 Sep 2012, 15:42

Lobito schrieb:Wer möchte die Geschichte fortsetzen?
...Hänschen dachte immer an sein Morgenritual - Gretel hat im Reiseprospekt diese gutgebauten, gebräunten Menschen gesehen und sich gedacht "so einen will ich haben"! Gesagt - getan. Virtuell den Katalog durchgestöbert und sich ne Seuche eingefangen. Nu ist sie auf Antibiotika und Hänschen darf nicht... Very Happy

Java gehört in die Tasse - wie es das Logo suggeriert. Und nicht ins Notebook oder den Rechner. Aber leider hat Youtube ja noch nicht alles auf html5 konvertiert - von anderen Unternehmen mal ganz abgesehen.

Blindenhund
Gelöschter Benutzer

Anmeldedatum : 01.08.11
Ort : /dev/sofa

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  tno am Sa 01 Sep 2012, 16:42

In Debian ist die 6er gefixt, aber die 7er noch nicht.

NeXxGeN schrieb:
tno schrieb:Mal schauen wie lange es dauert bis es in den Distributionen ankommt.
Die viel spannendere und wichtigere Frage lautet allerdings, mal sehen wann die nächste Lücke bekannt wird. Vorhanden ist sie definitiv schon ;)
Ich finde die vergangene Zeit zwischen Meldung und Fix spannender als den Zeitpunkt der Meldung.

NeXxGeN schrieb:Java hat im Browser nichts verloren, wenn man mich fragt, weswegen ich auch etwas verstimmt bin das es bei LM direkt mit installiert ist, so was sollte gerade bei Linux nicht sein. Erstmal Sicherheit, wenn die Benutzer es dann immer noch, besseren Wissens, nutzen wollen, bitte schön.
Haben denn Flash und Javascript etwas im Browser verloren?

tno

Anmeldedatum : 28.01.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  Coyote am Sa 01 Sep 2012, 17:00

Javascript ist schon speziell für das Web entwickelt. Ohne Javascript, sieht es ein wenig öde aus und viele Seiten sind auch nicht so bequem zu bedienen. Javascript schalte ich nur bei Bedarf ab, also z.B., wenn ich in Foren ein fremdgehostetes Bild ansehen will. Dann schiebt sich keine riesige Werbung in die Seite und es hagelt auch keine Popups.

Coyote
Roadrunner-Jäger
Roadrunner-Jäger

Anmeldedatum : 01.08.11

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  lupu am Sa 01 Sep 2012, 17:12

Ich hab mal jetzt auf Paranoia-Modus geschaltet und in Maya mit Synaptic nach Java-Paketen geschaut und
deinstalliert.
Synaptic installiert dafür andere, scheinbar wird das Zeug irgendwo gebraucht.

Aber sind diese Pakete sinnvoll und am Ende nicht schon veraltet?
Ich hab sie gleich wieder entfernt. Mal sehen,was passiert.
@Coyote
Deinem Hinweis folgend hab ich in meinem Firefox bei Inhalten keinen Punkt "Java aktivieren" gefunden.
(vor der Deinstallation)
avatar
lupu

Anmeldedatum : 15.08.11
Alter : 67
Ort : unterwegs

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  clivie am Sa 01 Sep 2012, 17:20

schau mal hier Lupu,
avatar
clivie
Minthouse Urgestein

Anmeldedatum : 06.08.11
Alter : 63
Ort : Sauerland

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  lupu am Sa 01 Sep 2012, 17:25

Genauso sieht es bei mir auch aus. Aber da steht doch nur javascript, was ja nichts mit Java zu tun hben soll.

tno schreibt:
Haben denn Flash und Javascript etwas im Browser verloren?

Find ich schon, weil sonst vieles nicht richtig funktioniert.
Meiner Meinung nach ist nur wichtig, die Kontrolle darüber zu haben, bedeutet Erweiterungen wie flashblock und no(t)script zu benutzen. Ohne javascript kann ich z.B. kein Bild in das Posting einfügen, oder ein Emoticon :roll:
avatar
lupu

Anmeldedatum : 15.08.11
Alter : 67
Ort : unterwegs

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  tno am Sa 01 Sep 2012, 17:32

Coyote schrieb:Javascript ist schon speziell für das Web entwickelt.
Java und Flash auch. Very Happy

@Lupu


Edit:

Noscript kann übrigens auch Java blocken.

Zum Thema Webseiten funktionieren ohne Java-Script schlecht: Natürlich tun sie das, weil jeder trottelige Webdesigner davon ausgeht, dass auf der Gegenseite Java-Script funktioniert. Aber schaut euch doch mal an wieviele Sicherheitslücken in den gängigen Browsern auf einer fehlerhaften Implementation von Java-Script basieren.


Zuletzt von tno am Sa 01 Sep 2012, 17:38 bearbeitet; insgesamt 1-mal bearbeitet (Grund : Ergänzung)

tno

Anmeldedatum : 28.01.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  lupu am Sa 01 Sep 2012, 17:42

Ja, schon deaktiviert:



Dürfte eigentlich gar nicht mehr da sein, weil ich ja IcedTea deinstalliert habe. Vllt. nach Neustart.
avatar
lupu

Anmeldedatum : 15.08.11
Alter : 67
Ort : unterwegs

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  clivie am Sa 01 Sep 2012, 17:55

und Coyote schreibt, *falls vorhanden*
avatar
clivie
Minthouse Urgestein

Anmeldedatum : 06.08.11
Alter : 63
Ort : Sauerland

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  lupu am Sa 01 Sep 2012, 18:07

Clivie, hast recht. Embarassed
Hab ich überlesen.
avatar
lupu

Anmeldedatum : 15.08.11
Alter : 67
Ort : unterwegs

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  L am Sa 01 Sep 2012, 18:31

Die Cyberspace-Geschichte war für Leute gedacht,
die sich in der Materie nicht auskennen sowie für virtuelle Besucher, die diesen Thread lesen wollen. ;)

Vom Medienbericht einmal abgesehen, wissen wir nun den verschiedenen Kommentaren zufolge:

- "...auch ohne Sicherheitslücke - Java im Browser standardmäßig abgeschaltet zu lassen (den Flashplayer auch)."

- "Java gehört in die Tasse - wie es das Logo suggeriert..."

- "Java hat im Browser nichts verloren, wenn man mich fragt..."

- "Haben denn Flash und Javascript etwas im Browser verloren?"

Ich versetze mich mal in Hans und Gretel, also Laien, die nun über mehr Infos verfügen als zuvor. Smile
Wenn Hans und Gretel das bis hierhin richtig verstanden haben, geht doch die Gefahr überwiegend von "präparierten Webseiten" aus. Also solchen mit irgendwelchem Schadcode. Auf Webseiten bei denen das nicht der Fall ist, wie etwa die brave Ortszeitung wo alles in geregelten Bahnen abläuft - Überprüfung der EDV -, oder das Reisebüro, sind Hans und Gretel doch auf der relativ sicheren Seite?

L

Anmeldedatum : 03.08.11
Ort : /dev/L

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  tno am Sa 01 Sep 2012, 19:27

Lobito schrieb:Auf Webseiten bei denen das nicht der Fall ist, wie etwa die brave Ortszeitung wo alles in geregelten Bahnen abläuft - Überprüfung der EDV -, oder das Reisebüro, sind Hans und Gretel doch auf der relativ sicheren Seite?
Wenn diese keine Werbung von Dritten einblenden und nicht selbst gehackt wurden - ja.
Aber auf welche Seite trifft das denn zu?

Um es mal hart zu sagen: Wenn dein Browser in irgendeiner Form Programmcode ausführen kann, bist du grundsätzlich auf der unsicheren Seite. Im Moment scheint die Gefahr von Flash und Java größer zu sein als von Java-Script. Aber das kann sich auch schnell wieder ändern.

tno

Anmeldedatum : 28.01.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  L am Sa 01 Sep 2012, 21:08

tno schrieb:Wenn dein Browser in irgendeiner Form Programmcode ausführen kann, bist du grundsätzlich auf der unsicheren Seite.
Gut, dass Du das hervorgehoben hast, danke!

L

Anmeldedatum : 03.08.11
Ort : /dev/L

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  NeXxGeN am Sa 01 Sep 2012, 21:41

tno schrieb:Haben denn Flash und Javascript etwas im Browser verloren?
Jein!

Javascript ja, unbedingt sogar. Nur nicht zwingend dauerhaft aktiviert. Ohne JS brauchst du auch keinen Browser, heut zu Tage funktionieren nur die Hälfte aller Websites noch ohne Javascipt. Ich habe NoScript in meinem Firefox drin und aktiviere die benötigten Scripte nur auf meinen Standard Seiten dauerhaft, ansonsten nur temporär falls benötigt. Wenn man mal NoScript im Browser hat, sieht man auch wie viel Fremdquellen auf den ganzen Websites eingebunden werden, vor allem so Drecksdienste wie Facebook!

Flash nur bedingt, am liebsten wäre es mir auch ganz ohne Flash, aber das ist leider noch nicht möglich. Allerdings bietet der FF ja mittlerweile die Möglichkeit Plugins automatisch deaktiviert zu haben und nur durch Bestätigung zu aktivieren. Das Wird der Sicherheit großen Vorschub leisten. Lange wird es aber auch nicht mehr dauern, dann sind wir auch Flash los. HTML5 ist die Zukunft und somit auch Javascript!

NeXxGeN

Anmeldedatum : 29.08.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  tno am Sa 01 Sep 2012, 22:36

NeXxGeN schrieb:
Jein!

Javascript ja, unbedingt sogar. Nur nicht zwingend dauerhaft aktiviert. Ohne JS brauchst du auch keinen Browser, heut zu Tage funktionieren nur die Hälfte aller Websites noch ohne Javascipt. Ich habe NoScript in meinem Firefox drin und aktiviere die benötigten Scripte nur auf meinen Standard Seiten dauerhaft, ansonsten nur temporär falls benötigt. Wenn man mal NoScript im Browser hat, sieht man auch wie viel Fremdquellen auf den ganzen Websites eingebunden werden, vor allem so Drecksdienste wie Facebook!
Nur zur Warnung: Mittlerweile bin ich wohl in diesem Forum dafür berüchtigt über Java-Script zu lamentieren.
Aber ich halte es für ein absolutes Unding, dass Webseiten ihren Code auf meinem Rechner ausführen. Das halte ich für einen grundsätzlichen Designfehler. Ohne Noscript führen sogar Dritte (Werbepartner) ihren Code auf meinem Rechner aus. Dritte die ich nicht kenne, deren Seite ich nicht aufgerufen habe und deren Code ich nicht überprüfen kann bevor er ausgeführt wird. Ich weiß nicht mal welche Dritte ihren Code auf meinem Rechner ausführen bevor ich die Seite aufrufe!
Gehört diese Funktionalität wirklich in einen Webbrowser? In dieses Ding mit dem man Onlinebanking macht?

Mal was konstruktives nebenher:
Öffnet mal Noscript -> Options -> Advanced -> External Filters. Da könnt ihr einen Filter namens Blitzableiter aktivieren, der Flashdateien überprüft und deren Ausführung verhindert, wenn diese gewissen Anforderungen nicht genügt.
siehe auch: http://www.heise.de/security/meldung/26C3-Schutz-gegen-Flash-Sicherheitsluecken-893588.html

Nebenbei sollte man ab und zu mal die Whitelist von Noscript überprüfen. Als ich das das letzte Mal gemacht habe waren da durchaus Webseiten voreingestellt, denen ich ganz sicher nicht vertraue.

NeXxGeN schrieb:
Flash nur bedingt, am liebsten wäre es mir auch ganz ohne Flash, aber das ist leider noch nicht möglich.
Ich lebe problemlos ohne Flash. Zumindest youtube funktioniert auch ohne.

tno

Anmeldedatum : 28.01.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  Coyote am Sa 01 Sep 2012, 23:40

tno schrieb:Ich lebe problemlos ohne Flash. Zumindest youtube funktioniert auch ohne.
Ich habe mich schon bei Spiegel.de über ihre vielen Flash-Inhalte beschwert. Aber sie haben nicht geantwortet.

Coyote
Roadrunner-Jäger
Roadrunner-Jäger

Anmeldedatum : 01.08.11

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  lupu am So 02 Sep 2012, 08:44

lol!
Dieser geldgierige Spiegel will wahrscheinlich nicht auf die Werbeeinnahmen verzichten.

Ohne Flash, war das nicht auch mal das Glaubensbekenntnis der Apfel-Jünger?

YouTube ohne Flash, heißt das die webm oder mp4 Datei (wenn vorhanden) herunterladen, speichern
und mit einem Playaer abspielen?
avatar
lupu

Anmeldedatum : 15.08.11
Alter : 67
Ort : unterwegs

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  NeXxGeN am So 02 Sep 2012, 10:27

Nein, man kann youtube auf HTML5 umstellen: youtube.com/html5

Aber damit funktionieren nicht alle Videos, falls du einen Browser hast der nur WebM unterstützt.

Zu Javascript:

Ich programmiere selbst viel in Javascript und man kann mit Javascript natürlich auch ein paar Sachen machen die nicht so angenehm sind, aber solange der Browser keine gravierenden Sicherheitsmängel aufweist kann man damit keinen Schaden am PC vornehmen, da Javascript eben nur den DOM ändert. Viel schlimmer sind da natürlich die ganzen Scripte von Facebook, Criterio und weitere Schnüffeldienste die Protokollieren auf welchen Webseiten man sich so herumtreibt. Dafür gibt es dann aber NoScript und eigentlich sogar ebenfalls empfehlenswert ist Ghostery, das blockt Werbescripte und Zählpixel auf Websites.

Wirkliche gefahren für die Sicherheit sind dann eben doch nur die ganzen Plugins wie Flash, Java und die anderen Sachen die in Mint direkt mit dabei sind.

NeXxGeN

Anmeldedatum : 29.08.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  Gesponserte Inhalte


Gesponserte Inhalte


Nach oben Nach unten

Seite 1 von 3 1, 2, 3  Weiter

Vorheriges Thema anzeigen Nächstes Thema anzeigen Nach oben


 
Befugnisse in diesem Forum
Sie können in diesem Forum nicht antworten