Java-Sicherheitslücke bedroht Windows-Systeme

Sicherheitslücken Eine neu entdeckte Sicherheitslücke in Java-Laufzeitumgebungen unter Windows stellt eine Bedrohung für zahlreiche PC-Nutzer dar. Davon berichtete das Sicherheitsunternehmen G Data. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
JAVA selbst IST eine Sicherheitslücke. Am besten, man installiert es erst gar nicht. Auf Windows-Systemen (auf denen dieser Bug ja wirksam ist) gibt es meistens genug alternative Programme.
 
@satyris: ach, ist das so? Was wäre das denn für eine Alternative, wenn ich zb. n Java-Applet starten will oder sogar muss? BTW: 'Java-Sicherheitslücke bedroht Windows-Systeme' Wieder ein Grund, nicht Windows zu benutzen ;)
 
@Hitchhiker: Java Applets braucht man nicht, dafür gibt es flash oder silberlight. Im Browser hat Java eh nichts verloren. Java macht alle Browser langsam wie eine Schnecke.
Java braucht man aber doch auf den Rechner, besonderst wenn man Programme, wie Tvbrowser, auf beschiedenen Betriebsystemen benutzen will. Java ist auch für Programmierer für die C++ zu schwer ist oder wo man den Code in C++ für jedes Betriebsystem neu schreiben muss.
 
@dshome: das mein ich doch, hab mich nur unglücklich ausgedrückt... aber manchmal kommt man um Java im Browser nicht herum; wenn die Technologie nun mal so ausgelegt ist, mit der man arbeiten muss. Man kann es sich nicht immer aussuchen...
 
@dshome: ahh so ist das, wie schön wäre doch die Welt wenn alle noch in C++ programmieren würden. Dieses komische Java ist ja nur für die schlechten Programmierer und Multi-plattforum unterstützer. Alles klar, danke für die Erleuchtung! Mann echt, solchen Kindern ohne jegliches Grundwissen sollte man den Account hier schnell wieder entziehen...
 
@Lord eAgle: Stöpselt schnell alle eure Blu-Ray Player vom Netzwerk ab. Denn auf den meisten steht ja groß drauf, dass ihre Firmware in Java ist. Ich frage mich allerdings, wieso es den Benutzer des Geräts interessieren sollte, in welcher Sprache dessen Firmware geschrieben ist? Bisher wurde bei meinen Toastern auch nie damit geworben, dass ihre Firmware in C ist.
 
@DSidious: ich denke da gehts nicht um die Firmware, sondern darum, dass JavaME Applikationen von einer BluRay Disk ausgeführt werden können. Da werden viele neue Möglichkeiten geboten, um eine BluRay Disk nebst dem normalen Film attraktiver zu machen. Mit mehr oder weniger komplexen Programmen .....ob man das wirklich braucht ist wieder eine andere Frage :-)
 
@Hitchhiker: Ich meinte damit, dass es genug alternativen zu deinem zu startenden "Applet" gibt unter Windows, nicht dass es alternative Programme gibt, mit denen man Applets ausführen kann. Aber Java-Applets sind ein Graus und für mich ein "No-Go".
 
@satyris: Um jDownloader kommt man leider nicht herum...
 
@satyris: Aha, so einfach ist das also...
 
@Hitchhiker: SAFE THE WORLD !! GET LINUX !! :)
 
@Ðeru: selten passte es so gut....fail
 
@satyris: naja sooo schlimm ist es ja nun nicht.
Ich hab den Exploit mal getestet bzw versucht es zu staten...bekommen nur ne Meldung calc.jar nicht gefunden und ein PlugIn muss Installiert werden was nicht gefunden wird...also mehr als ein Fehlermeldungsproduzent ist der Exploit ATM nicht.

Und wichtig Einstellungen sollte bei Vista/Win7 eh UAC also eine Nachfrage auslösen....
 
@Nero FX: Bei mir fragt er nur nach "Plugin installieren". Wenn der Plugin finder dann startet kommt da raus "nichts gefunden".
 
@satyris: diese sicherheitslücke existiert auch unter der linux variante (ebenso der solaris variante btw) ebenfalls....das demo exploit funktioniert natürlich nciht weil der windows taschenrechner weder auf dem linux system zu finden ist noch die calc binary ausführen könnte. Btw ist java vom konzept (genauso wie .net) sicherheitstechnisch native code deutlich überlegen
 
Also bei mir mit Fx 3.6.3 und Win7 passiert bei dem "Exploit" nichts... EDIT: Mit dem IE8 kommt lediglich sie Meldung "Java Virtual Machine Launcher: Unable to access jarfile \\lock.cmpxchg8b.com\calc.jar".
 
@ZappoB: Bei mir (Windows XP Home SP3) exakt dasselbe wie von Dir beschrieben.
 
@ZappoB:
Im IE bekomme ich unter Windows 7 auch diese Fehlermeldung. In Opera passiert gar nichts.
 
@Chris81: nutze opera schon seid jahhhren (xp,vista,win7) und habe nie probleme damit gehabt,gute wahl! ist eben nicht so anfällig,wie die anderen :-)) http://acid3.acidtests.org/
Der Opera 10.50,hat 100/100.
 
@wfsl1386: Kann das sein, dass du den Sinn dieser Meldung nicht verstanden hast? Falls ja: Es geht hier um die Java-Umgebung von Sun - die als "Addon", "Plugin" oder wie auch immer du es nennen willst von allen Browsern (Opera, IE, Firefox, Chrome, Safari, ...) verwendet wird, sobald ein Java-Applet (nicht verwechseln mit JavaScript!) auf der Seite angesprochen wird. Die Sicherheitslücke ist in diesem Addon. Es betrifft daher alle Browser, sobald Sun Java installiert sowie im Browser aktiv ist (was die Defaulteinstellung ist).
 
Ich weiß es ist Offtopic, aber ich würd trotzdem gern eure Meinung(en) wissen: Wenn ich vorhabe ein Online-Kartenspiel zu erstellen, das man im Browser spielen kann und dieses Kartenspiel gut laufen soll, wäre es besser es für Java oder für Flash zu programmieren?
 
@XP SP4: Javascript, ich bitte dich... So etwas simples kann aber 100% mit Javascript und Html umgesetzt werden.
 
@XP SP4: also ich bin kein programmierer, wenn es möglich ist, wie marhei sagt, dann würde ich es auch in js und html proggen, das läuft ja überall, allerdings kann man ja java programme auch ohne browser starten. wäre auch nicht verkehrt. nur flash is igitt. blocken :)
 
Ihr werdet es nicht glauben, aber ich habe Java gar nicht installiert. Trotzdem hatte ich bisher keine Probleme, weder beim Hören noch beim Sehen. Was ich haben will, bekomme ich auch ohne Java.
 
@eolomea: Ich auch nicht. Java Tester: http://www.javatester.org/
Java braucht man nicht(Edit: im Browser), Silverlight auch nicht, auf Flash kann man noch nicht völlig verzichten(sollte man aber blocken). Java ist in der Regel aber sicherer wie viele andere ActiveX(wie z.B. Flash).
 
@Spiderman111: Ihr tut gerade so als wäre Java für den Browser entwickelt worden. Diese Applets sind nur ein kleines Nebenprodukt. Java braucht man primär im Business und nicht für Spielereien, die man auch mit Flash oder Silverlight realisieren könnte...
 
@Lord eAgle: Ich meinte Java im Browser, gegen Java als Plattform übergreifende Programmiersprache habe ich nichts einzuwenden. Im Browser gehören nur wirklich benötigte Addons/Plugins. MS hat ja sogar Plugins ungefragt dem Firefox untergeschoben, so etwas macht man nun wirklich nicht.
 
@Spiderman111: Wie kommst du auf deine letzte Aussage "Java ist in der Regel aber sicherer wie viele andere ActiveX(wie z.B. Flash)"? Belege?
 
@Lofote: http://de.wikipedia.org/wiki/Activex

ActiveX läuft nicht etwa wie Java in einer abgeschlossenen Sandbox, sondern läuft ungesichert auf dem Computer.

http://de.wikipedia.org/wiki/Java_(Programmiersprache)
Robustheit:
Viele der Designentscheidungen bei der Definition von Java reduzieren die Wahrscheinlichkeit ungewollter Systemfehler: Zu nennen sind die starke Typisierung, Garbage Collection, Referenzen statt Pointer, Exception Handling.

Sicherheit:
Dafür stehen Konzepte wie der Code-Verifier, der sicherstellt, dass die JVM keinen ungültigen Bytecode ausführen kann, der Class-Loader, der die sichere Zuführung von Klasseninformationen zur JVM steuert und Security-Manager, die sicherstellen, dass nur Zugriff auf Programmobjekte erlaubt wird, für die entsprechende Rechte vorhanden sind.
 
@Spiderman111: Öhm, ist Java nicht per ActiveX in IE eingebettet? Zum anderen gehts mir nicht um die Java-Sprache und deren Sicherheit oder die Sandbox, sondern nur um die Runtime-Engine, die so uneingeschränkt wie ActiveX lokal läuft und die hat genauso heftige Fehler wie Flash auch.
 
@eolomea: hab mich verzettelt mit openoffice....
 
@exqZ: OpenOffice ist nicht auf Java angewiesen. Nur Base und ein paar Assistenten brauchen Java.
 
Wofür brauch man eigentlich Java? Welche Java-Applets nutzt ihr?
 
@GokuSS4: ich nutze ausschließlich den neuen Java-Apple-TS :-)
 
@GokuSS4: openoffice, jdownloader, azureus. gibt viele sachen die in java progeammiert werden edit: oh nee nich ganz richtig, openoffice hat einige assistenten, die brauchen java, sonst geht s auch ohne sorry.
 
@GokuSS4: Java braucht man garnicht. Man braucht auch kein C, C++ oder andere Programmiersprachen. Man braucht auch kein Windows, Linux, AIX und andere Betriebssysteme.
Fakt ist jedoch, dass die Industrie seit etwa 10 Jahren immer mehr auf Java setzt. Das hat zum einen praktische (Zeit, Geld, Risiko, Bequemlichkeit, ...), zum anderen ideologische Gründe (Hype).
Sämtliche Innovationen im IT-Bereich werden heute zuallererst mit Java umgesetzt. Nicht weil es nur in Java geht, sondern weil die bestehenden Werkzeuge und Architekturkonzepte eine schnelle Integration erlauben. Sei es Hibernate, Spring, JUnit, ... Anschließend kommt lange Zeit nichts und dann kommen halbherzige Umsetzungen für C#.
Wofür brauch man nun eigentlich Java? Keine Ahnung. Aber es hat sich nunmal durchgesetzt.
 
@DSidious: Naja, ist das wirklich so? Wenn ich auf Softwareportalen nach Programmen suche, dann sind vielleicht 1% in Java geschrieben. Und gerade das sind dann diejenigen, die halbherzig umgesetzt sind. Oder betrachten wir uns mal die vielen kommerziellen Produkte. Da ist mir noch nix untergekommen, das auch nur in irgendeiner Form auf Java aufsetzt.
 
@B1xx: denke mal der größte markt für java sind immernoch Java EE anwendungen. z.B. GateIn, JBoss, Glassfish als Stichworte
 
@DSidious: Ich muss B1xx zustimmen. Die wenigsten Dinge sind in Java umgesetzt, eigentlich sind sie nur in speziellen Business-Lösungen führend. Von "sämtlichen Innovationen im IT-Bereich" nicht mal den Ansatz einer Spur, wie kommst du auf diese Aussage nur?
 
Nutze FF 3.6.3 und bei mir kommt immer "Warnung der Website wird nicht vertraut" beim Versuch das Script aufzurufen? Währe dann wohl blöd die Warnung zu übergehen. Naja kommen ja fast täglich neue solche Horrormeldungen!
 
@LaBeliby: Will damit sagen wer FF nutzt unbedingt WOT,Adblock Plus (Dr.Evil) und NoScript installieren-ist schon die halbe Miete um nicht auf so ein Mist reinzufallen und natürlich akt.Virenscanner sowieso!!!
 
@LaBeliby: damit sagst du aber was falsches...die seite mit dem demo exploit ist SEHR vertrauenswürdig, will sagen die seite informiert über sicherheit in der it und ist eine sehr angesehene größe in diesem bereich. Ein paar kids haben die seite nun wohl als böse markiert weil sie nicht verstehen um was es bei seclists geht und dort keine schädlichen exploits zu finden sind...naja. Wenn du dich durch so ein nachgezogenen schutz (adblock, virenscanner etc) beruhigt fühlst, gut so....wer mietet sollte erstmal lernen die tür abzuschliesen ;)
 
@0711: Nee so einfach ist das nicht es geht nicht darum was jemand bewertet (höchstens bei WOT)aber nie so schnell NoScript läßt garkeine Sites mit versteckten Scripts zu und schon dann erfolgt die Warnung probier es einfach aus und dann siehst du es!!
 
@LaBeliby: noscript ist aber auch nicht für die meldung verantwortlich ;)...von dem abgesehen ist bei noscript halt das problem, irgendwelche seiten hat man als vertrauenswürdig markiert und erfahrungsgemäss sind selbst vertrauenswürdige seiten hin und wieder schadsoftwareverbreiter.
 
@0711: Also zumindest kann man da nur temporär vertrauenswürdige Seiten zulassen und in diesen Fall erfolgt trotzdem die Warnung..klar sollte man auch noch ne Firewall einsetzen die alle Ports versteckt und neuen ausgehenden Traffic sofort meldet aber überfordert sicher viele User? Man mus halt immer das beste aus den Möglichkeiten machen die zur Verfügung stehen und das ist allgemein echt ein Problem oder??
 
mit links ist hier leider sone Sache???Geht meißtens nicht...unter ist einer aber da müßt ihr auf der heise Seite dann auch noch unter Secure schauen!!!
 
@LaBeliby: sicher kann man es temporär zulassen u.ä.. nur wer nutzt es so (vorallem welcher unerfahrene anwender würde damit zurechtkommen)? Es hat schlicht eine unflüssige arbeitsweise zufolge, es verkompliziert die abläufe und dies hat fehler zur folge usw usf. Aber du gibts ein gutes beispiel was der fehler vieler ist...das vertrauen in irgendwelche zusätzlichen softwarelösungen...dabei aber schon grundlegendes verkehrt machen (sag bitte ja oder nein: du bist aktuell an deinem system mit einem administrativen benutzer angemeldet?). Wer sein system "dicht" machen will, dem bieten moderne betriebssysteme bereits genügend möglichkeiten dies zu schaffen ohne sich nochmehr softwarebalast aufzuladen (nur als hinweis, ich schliese hier windows explizit mit ein)
 
@0711: Mein Gott was bringt in unseren Fall Fachsimbelei? Sicher bin ich Admi und sicher kannste mich anbumsen aber inspätestens 1 Stunde hab ich wie jeden Tag Sicherung von gestern drauf und was nutzt dir das denn???? Du solltest besser mal was wertvolles für Alltags-User raussuchen!!! Denk sind die große Mehrheit...
 
@0711: naja 0711 reden ist silber schweigen Gold denkste jetzt aber glaub mal auch mit Admin Konto perlt mir alles am A...vorbei...ansonsten viel Spaß noch beim Portscan.....
 
@LaBeliby: nützliches für den alltagsuser ist erstmal nicht mit einem adminuser online zu gehen (grund dafür findest du u.a. hier http://kurzurl.net/c0uvR womit man auch sieht dass es nicht nur theoretisch was bringt)....dep aktivieren (ja es ist nicht unumgehbar aber es verhindert viel). Sofern der link nicht geht...kleine zusammenfassung, der großteil der 2009 gemeldeten windows sicherheitslücken und ALLE office lücken lassen sich bei nutzung eines eingeschränkten benutzerkontos nicht ausnutzen! Um das System zuzuziehen, für Windows Vista/7 kannst du applocker nehmen (os bestandteil) und damit anwendungen whitelisten die du nutzt...das bedeutet aber aufwand den sich nicht jeder geben will (bei xp gab/gibt es softwareeinschränkungsrichtlinien). Virenscanner sind maximal ein letzter fallstrick um eine infektion zu erkennen. Von dem abgesehen gibt es auch viren die (administrative rechte des benutzers vorausgesetzt!) virenscanner deaktivieren. Generell ist die kommentarfunktion hier etwas unpraktisch um das thema umfassend genug zu betrachten. Bezüglich deinem re:9...einzelkind?
 
Morgen kommt ja dann der Windows Patchday. Um ein für allemal diesen pöhsen Exploits den Nährboden zu entziehen, da sollte Microsoft mal durchgreifen und einfach den Windows Taschenrechner entfernen. Schon rennen alle diese phösen Windows Exploits ins leere !1drölf
 
meine güte...da ist winfuture schon bald 3 Tage zu spät dran und bringt dann nichtmal die problematik dieser sicherheitslücke auf den punkt...nicht nur windows pcs sind betroffen, sondern mindestens auch linux + solaris -> http://kurzurl.net/yjKaY ... desweiteren funktioniert das demo exploit bisher nur sehr unzuverlässig (was auch die obigen fehler - ausnahme "warnung der website wird nicht vertrut" - erklärt)
 
@0711: gut bearbeitet aber kannste dazu auch de.url posten? Währ sicher denn klarer was Du meinst!
 
@LaBeliby: "de.url"? meinste was auf deutsch? Kann ich leider nicht mit dienen...ansonsten steht alles halt in englisch in dem obigen link
 
@LaBeliby: wasn "Währ" für ein Wort?
 
@0711: Und seit Freitag (16.04.) ist von Java ein Update draußen. Scheint bei WF keinen zu interessieren.
 
http://www.heise.de/security/dienste/Der-Scan-869077.html
 
@LaBeliby: Und hier auf Dienste und dann Update-Check gehen und vertrauen klicken!!!Keine Ahnung warum WF das stört? Könnten die ja auch mal anbieten...aber nee......
 
Passt zwar nicht zur News, aber ich finde Java im allgmeinen ziemlich bescheuert. Nichts gegen die Sprache an sich, aber dass diese Runtime Environment immer mitlaufen muss...Zumal dieses Teil mir ständig neue Plug-in-Versionen in den Browser reinknallt und die alten Einträge nicht mal löscht, wenn es sich aktualisiert...auch finde ich, dass Java-Programme sehr viel an Ressourcen verbraucht, auch eben (oder speziell deswegen), weil die Programme nicht nativ ausgeführt werden. Deshalb hab ich mich von Java schon lange getrennt.
 
@B1xx: Bin deiner Meinung. Und viele Programme bringen dann noch ne eigene Runtime noch mit, was beim Patchen richtig Arbeit bedeutet (bzw. viele Instanzen dann praktisch vergessen werden - genauso schlecht).
 
@B1xx: ab version 1.6.0_10 (6 Update 10) werden die alten versionen korrekt ersetzt
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles