Kritische Lücken in aktueller Java-Version entdeckt

Die in Polen ansässigen Sicherheitsexperten von Security Explorations wollen laut einem Bericht von 'Computerworld.com' zwei kritische Schwachstellen in der aktuellen Java-Version 7 Update 11 gefunden haben. mehr... Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Jetzt wird natürlich gesucht ;-)
 
@fabian86: um so schlimmer, dass so viel gefunden wird. kein gutes Jahr für Java
 
@4ndroid: Eigentlich geht es doch um dieses Vermurxte Browser Plugin.
 
@BadMax: Ja genau darum geht es.Weil in sehr vielen Browsern das Plugin aktiviert ist, ist es ja so gefährlich.
 
@fabian86: Ich habe Java eh nur noch für "TV Browser" benötigt. Jetzt habe ich mir dazu eine Alternative gesucht und Java entfernt. Immer weniger Websites setzen aufgrund der langen Kette von Sicherheitsproblemen auf diese Runtime. Lokal wird es auch immer seltener gebraucht. Nach den aktuellen Problemen wird es nur noch eine Frage der (nahen) Zeit sein, das Java einen schnellen schmerzlosen Tod stirbt. Es kann sich schlicht niemand erlauben, das sein Produkt durch Oracles Probleme mit Java an Glanz verliert. Und Alternativen gibt es genug, die zudem performanter sind.
 
Yihhaa... und noch mehr lücken... Adios Java...
 
@Thomynator: drum bilde sich wer eine meinung kundtut.
 
Eine Lücke wird geschlossen und 2 weitere kommen dazu. Warum die Java einfach nicht sicher bekommen verstehe ich nicht. Sind deren Programmierer einfach nur unfähig oder haben die nur keinen Bock?
 
@Scoty: Liegt wohl eher daran, dass Java hoffnungslos komplex ist.
Vom Aufbau her ist es prinzipiell sicherer als C/C++, ist halt nur mit der Zeit immer unübersichtlicher geworden.
 
@andy01q: .Net ist größer und komplexer, aber ich behaupte mal, MS hat es im Griff. Die meisten Updates kommen raus bevor jemand diese Lücke ausgenutzt hat...
 
@winload.exe: "Die meisten Updates kommen raus bevor jemand diese Lücke ausgenutzt hat."

War das ironisch gemeint?
 
@ichbinderchefhier: Nein, war es nicht. Ich lese nicht alle paar tagen in den news, dass .Net eine Sicherheitslücke hat, die aktiv genutzt wird, im Gegensatz zu Java.
 
@winload.exe: Es ist auch nicht Java ansich unsicher, sondern das Java Browserplugin.
 
@winload.exe: Wo genau ist das Browser-Plugin für .Net Applets?
 
@Tic: Was viele nicht wissen... .NET WPF-Anwendungen gibts auch für den Browser, nennt sich XBAP.
 
@andy01q: Irgendwie passen Anfang und Ende deines Posts nicht zusammen...
 
Am liebsten würde ich Java sofort löschen, aber ich brauche das, weil ich damit Programmieren muss:-(
 
@L_M_A_O: Profitip: Java im Browser deaktivieren und gut ist.
 
@Kirill: Habe ich schon immer gehabt, darum geht es gar nicht. Ich mag Java einfach nicht so sehr. Ich programmiere lieber mit C oder C#. Visual Studio ist meiner Meinung den anderen IDEs(Eclipse und co.) um Welten voraus.
 
@L_M_A_O: Da hast du Recht. Mit Visual Studio ist MS eine tolle Entwicklungsumgebung gelungen. Auch wenn mir die die 2012'er Version von der Optik und Übersichtlichkeit nicht so zusagt. Aber im Vergleich zu Eclipse (würg) sind da immer noch Welten.
 
@heidenf: Visual Studio ist ein Monster. Ich brauche da zum kompilieren teilweise 5 Minuten, was ein onlinecompiler in wenigen Sekunden erledigt. Auß0erdem braucht VS 1 minute zum starten. Typische MS-Bloatware.
 
@Doc666: Dann machst du was falsch. VS ruft auch nur das Compiler Binary vom Framework auf. Und mein VS braucht genau 5 Sekunden zum Starten. Wenn du allerdings 250.000 Klassen in einem Projekt geöffnet hast, werden diese auch alle wieder beim Starten geöffnet. Mein Fazit: Du hast keine Ahnung, lass lieber die Finger vom Entwickeln.
 
@Doc666: Zum normalen starten braucht bei dir VS 1min? Entweder ist dein Rechner veraltet oder du hast ihn mit Viren verseucht das VS 1 Minute zum starten braucht;)
 
@L_M_A_O: Da stimme ich dir zu. Dazu kommen noch ein paar Eigenheiten der Sprache... Wenn ich eine Hochsprache will, nehme ich C#. Für leistungskritische Sachen C.
 
Ich denke, so langsam sollte man beginnen, oft genutzte Java-Programme in plattformunabhängigem C/C++ neu implementieren. Mittels GTK oder Qt hat man bei der GUI schonmal ein Toolkit, das auf mehreren Plattformen läuft (zumindest da, wo auch Java läuft).
 
@Pizzamann: Ich denke, du übertreibst. Das Problem stellt sich nur für Applets im Browser. Lokal installierte Javaprogramme können auch nicht mehr Mist anrichten, als lokal installierte C++-Programme. Browserapplets sind mit einem vernünftigen Browser hingegen kein Problem, kein gescheiter Browser spielt, ohne explizite Nutzerzustimmung, Plugins ab.
 
@Kirill: Ich denke nicht, dass er übertreibt.
 
@Pizzamann: Das ist eine höchst unrealistische Forderung. Allein der Aufwand der dahinter stehen würde (von Java zu C++)! Die Entwicklungskosten und Zeit...neue Entwickler....u.s.w. (Wenn überhaupt möglich!) Ich rede jetzt nicht von Hello-World Programmen! Wirklich eine äußerst unqualifizierte Aussage. Java läuft auch *höchstens* im Kontext des angemeldeten Benutzers. Genau wie C++ Programme. C++ Programme sind nicht *sicherer*!
 
@Pizzamann: Du bist dir aber schon im klaren darüber, dass es hier nur um Browserapplets geht oder?
 
Ich finde es echt genial, wie bei einer Meldung von zwei Sicherheitslücken alle hergerannt kommen und auf Java rumhacken. Was das Thema angeht bin ich bei Adobe und deren Produkten wesentlich mehr beängstigt.
 
@Blackspeed: ja schon, nur bei Adobe gibts massig alternativen, zumindest für den Reader, was halt normale user interessiert bspw. PDF XChange viewer, nitro pdf... usw. (was den CS6 oder ähnliches angeht da is richtig, das steht auf nem anderen blatt wg alternativen) und ne alternative für Java... hm mir ist keine bekannt ;)
 
@Thomynator: Wenn schon dann reden wir hier wohl über Flash! und nicht über irgendwelche PDFs. PDFs kann man ja wohl am wenigsten mit Java vergleichen.
 
@tc2k: stimmt auch wieder. aber ich pers. nutze den Flash player nicht und im Browser ist das Addon deaktiviert. (kann ich nur empfehlen, keine flash werbung xD) Aber insgesamt hast du recht, flash ist auch sicherheitstechnisch bedenklich.
 
@Blackspeed: Adobe, Microsoft, Oracle - die Worst 3 of SOftware Security.
 
@Doc666: Liegt wohl daran, dass Microsofts Produkte so gut wie auf jedem Heimrechner laufen (außer auf denen von Puristen). Zu Adobe's Photoshop gibt es immer noch keine gute Alternative für den Bereich (bitte sagt nicht GIMP - da kann man gleich Paint.NET oder MS Paintbrush vorschlagen). Flash... ist sowieso obsolet - aber es wird halt immer noch verwendet. Java ist auch so n Problem - aber dafür muss man die Programme meist nicht "getrennt" für Windows, Linux usw. erstellen und verwalten (zumindest theoretisch). Aber Java im Browser ist meines Erachtens wirklich Unfug.
 
@divStar: Für mich stellt Gimp sehr wohl eine gute Alternative zum völlig überteuerten Photoshop dar!
 
@BuzzT.Ion: :D Paint ist auch eine Alternative zu Photoshop.. Trotzdem ändert das nichts daran, dass beides vom Funktionsumfang und Workflow nicht Konkurrenzfähigkeit ist.
Klar für den Standardbenutzer reicht auch GIMP vollkommen aus aber ich würde direkt kündigen, wenn man mir statt PS nun GIMP installieren würde.
 
Java ist eine einzige große Sicherheitslücke!
 
@(V) (*,,,*) (V): Mit dieser Aussage bist wohl eher *du* die größte Sicherheitslücke in deinem System. Java ist auch hier nicht potentiell *unsicherer* als vergleichbare Technologien.
 
@tc2k: Und kannst du das belegen oder ist es nur mal so in den Raum geworfen ?
 
@Doc666: Kannst du das Gegenteil beweisen oder ist das einfach mal nur so in den Raum geworfen?
 
@heidenf: Ah ich sehe du hast keinerlei Argumente. Nichts für ungut.
 
@Doc666: Ganz im Gegenteil. Ich habe einfach nur mit deinen Worten gesprochen. Oder habe ich deine Gegenargumente irgendwo übersehen?
 
@heidenf: Das Gegenteil beweisen. Natürlich. Schau mal die News z.b. an. Da hast du das Gegenteil.
 
@(V) (*,,,*) (V): Wo steht da, das Java eine einzige große Sicherheitslücke ist? Nenne mir ein System, dass keine Sicherheitslücken hat. Aber schön, dass man einen reißerischen Kommentar von sich gegeben hat.
 
@tc2k: Zuviele Leute sagen das Java eine einzige Sicherheitslücke ist. P.s. Danke an die Minusklicker. Wenn ihr die Wahrheit nicht vertragen könnt seid ihr selber schuld.
 
Java hat nicht umsonst die Kaffeetasse als Symbol: Zäh und träge und voll und ganz "Kaffeetassenmentalität" - GEDULD brauchts halt ^^
 
Ich frage mich, ob bei einer Silverlight Lücke auch alle das .net Framework deinstallieren... Bitte deaktiviert doch das Java Plugin in euren Browsern und gut is.
 
Das ganze kommt mir wie eine Hetzkampane gegen Java vor. Es gibt keinen Grund Java direkt zu deinstallieren. Lediglich das Browser Plugin hat, wie so viele Plugins schon (Flash etc), mal wieder eine Sicherheitslücke. __Schade, dass die meisten Newsseiten nur nachplappern und bei der Hetzkampagne damit aktiv mitmachen.
 
Wird Zeit Java einzufrieren um ein ordentliches Codereview, auch mit unabhängigen Sicherheitsfirmen, durchzuführen. So langsam wird es nämlich peinlich.
 
@ThreeM: Bist du Entwickler? Hast du dich einmal mit Softwareentwicklung und den anschliessenden Komponenten- und Systemtest beschäftigt? Weisst du, wie schnell neue Funktionen/Bugfixes einen Fehler produzieren können, die nur durch aufwendige Regressionstestst zu finden sind? Weisst du, wie komplex moderne IT-Systeme und die dazugehörigen Entwicklungsumgebungen mittlerweile sind? Weisst du, dass es KEIN System gibt, was keine Fehler hat? Ich für mich kann diese Frage mit JA beantworten, da ich seit 17 Jahren diesen Kram hauptberuflich mache. Entwicklung und Softwaretest nach ISTQB. Das einzige, was hier peinlich ist, ist dein absolut unqualifizierter Kommentar!
 
@heidenf: Komm mal runter Senior. Es geht darum das Oracle sich bei Bugfixes ewig Zeit lässt, Fehler nur Mangelhaft korrigiert und dann halbgepatchte Updates verteilen. Und ja ich WEISS (auf das Wort geht dir ja einer ab) was das bedeutet. Mein Kommentar war nicht unqualifiziert sondern durchaus ernst gemeint. Dafür das Java Secure bei Design sein sollte, weißt es in letzter Zeit zu große Lücken auf. Selbstverständlich gibt es keine Fehlerfreie Software, das hab ich auch nie behauptet. Nur die Ambitionen die Oracle in bezug auf die Sicherheit von Java an den Tag legt sind nunmal nicht besonders Effektiv. Das war als Java noch net bei Oracle war schon mal besser. Du als informierter Hardcore Programmiergeek hast bestimmt auch mitbekommen wie halbherzig Oracle den letzten Exploit gefixed hat. So etwas kann vermieden werden wenn man den Code einfriert und sich verstärkt auf die suche nach Sicherheitsrelevanten Problemen macht. Das dies Komplex und Teuer ist habe ich ebenfalls nie bezweifelt. Aber so wie es aktuell mit Java aussieht kann es nun mal nicht weitergehen. Bei OpenJDK gehts doch auch....
 
@ThreeM: Sorry, aber dein Kommentar hatte sich für mich anders gelesen. Sowas treibt mich immer zur Weissglut. Nichts für ungut!
 
@heidenf: Ok, nächsten mal versuchen wir und beide etwas freundlicher zu begegnen :) Alles gut.
 
@ThreeM: Jep ;-)
 
Ich finde Java eigentlich ziemlich cool. Es ist eine "leichte" Programmiersprache mit einem guten Framework. Unsicher? Eher nur wegen dem Plugin im Browser. Ja, es liegt nicht am Plugin, sondern schon an Java, da man dort am SecurityManager vorbei Funktionen aufrufen kann, die wiederum native Routinen ausführen, die man im Browser nicht aufrufen können sollte (z.B. Dateizugriff oder Prozesskontrolle (das schon berühmte Aufrufen von calc.exe)). - Trotzdem, Java ist eine coole Sprache. Ich finde persönlich auch, dass C# noch "cooler" ist, alleine wegen der Accessoren oder Operatorüberladung, oder dem mächtigeren (meiner Meinung nach) Framework. Aber was die IDE angeht, so finde ich Eclipse, obwohl bei größeren Projekten laggy, besser als VS. Zumindest ist die Refactoring-Funktionalität mächtiger (könnte auch an Java liegen). Ich komme damit etwas besser klar. (Ist ja auch keine Objektive Meinung als Benutzer, ich benutze beide Sprachen und Entwicklungsumgebungen, programmiere aber auch C für Mikrokontroller (ARM meistens)). - Also... Java deinstallieren... finde ich übertrieben. Eher sollte man einfach das Java-Plugin im Browser deaktivieren und gut ist.
 
@NewsLeser: dein kommentar hat mich überzeugt... ich habs dann doch lieber deinstalliert. danke :)
 
gott was hier einige eine scheisse von sich lassen, die nicht mal wissen was ein applet ist ^^
 
@MaloRox: Ist das was von Apple?
 
Gab es nicht grade ein Update wegen einer Sicherheitslücke?
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles