Java: Neue Sicherheitsfunktion bereits ausgehebelt

Im Januar dieses Jahres haben die Entwickler von Oracle das Update 11 für Java in der Version 7 zum Download veröffentlicht. Damit wurde unter anderem eine kritische Sicherheitslücke geschlossen, die bereits angegriffen wurde. mehr... Java, Sun Microsystems, Webtechnologie Bildquelle: Sun Java, Sun Microsystems, Webtechnologie Java, Sun Microsystems, Webtechnologie Sun

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Sicherheitslücken, die sicherlich seit Jahren da waren, jedoch unentdeckt blieben, werden nun im Wochenabstand gefunden ... wieso werden die gerade jetzt bekannt?
 
@Der_da: Wieso "gerade jetzt"? Die werden andauernd gefunden, mal mehr-, mal weniger gravierend. Einfach mal in eine Expolit DB schauen. // Da stehen natürlich nur die öffentlichen Exploits, selbstverständlich...
 
@Der_da: diese sicherheitslücke war sicher nicht jahre schon vorhanden denn die benannte "sicherheitsfunktion" gibts noch nicht so lang
 
@Der_da: Es ist aktuell eben massiv im Gespräch. Und Alle Seiten ("Gut" wie "Böse") versuchen Lücken zu finden. Mal für Geld, mal für Ansehen. Und Java ist Sicherheitstechnisch einfach massiv zurückgefallen und Aufgrund der Verbreitung, des schlechte Patch Managements und des schlechten Update Systems einfach ein Super Ziel. Wie bei Flash damals auch. jetzt wo es einen zuverlässigen Updater gibt der keine Adminrechte verlangt patchen sich 90% der Rechner selber da lohnt es weniger den Aufwand zu betreiben.
 
Ich kann jedem Firefox-User das Add-on Flashblock empfehlen. Es blockt alle Web-Anwendungen die auf Flash basieren und nur wenn man darauf klickt wird die entsprechende Anwendung (Video, Spiel, etc.) gestartet.
 
@Ryou-sama: Bei Chrome ist's schon eingebaut ... ist ne feine Sache, gerade unter Linux, wo Flash eine eher instabile Angelegenheit zu sein schein.
 
Bezahlt doch endlich die Hacker!!!
 
@shriker: du hast schon was gespendet, damit dieses bezahlen machbar ist ? Oder geht das wie so oft nach : der Herr Irgendwer und die Frau Jemand werdens schon richten ? Wieso rufst du nicht mal hierzu auf: Los helft mir, was gegen diese Hacker zu machen, los gehen wir sie suchen! ?
 
@DerTigga: hm, meint er nicht eher damit, dass diese löcher finden?
 
@Mezo: soweit ich weiß gibts da Unterschiede in der "Berufsbezeichnung" zwischen Hacker und Cracker. Oder eben zwischen Löcher nur suchen und Löcher suchen und ausnutzen bzw. verkaufen..
 
@DerTigga: naja, google bezahlt ja z.b. auch dafür, dass lücken gefunden und gemeldet werden. ich dache sein kommentar ging in die richtung. kann mich auch irren, finde die idee aber sehr gut.
 
@Mezo: Die Frage ist da evt. wann Google zahlt. Vor Lieferung oder nach Lieferung + Überprüfung obs die Lücke auch wirklich gibt ? Und so wie ich es verstehe, wäre die Komstellation bei Oracle nochmal anders: die müssten diesem Typen der es für 5000 anbietet regelrecht in dieses Board hinterherlaufen: verkaufs uns doch bitte bitte.. Noch nicht davon geredet ob dann wirklich eine Lücke aufgezeigt wird / enthalten ist im gekauften Päckchen...
 
@DerTigga: Mozilla und Google bezahlen für gefundene Sicherheitslücken, so brauchen die Hacker nicht auf illegalen Wegen ihre Erkenntnisse verkaufen und so ist die Sicherheit der Browser gewährleistet. (und nun ja auch bis zu Pi Mio Dollar für Chrome OS, wer rutscht schon in die Kriminalität, wenn 110.000 bis 150.000 Dollar winken) Oracle investiert kaum in die Sicherheit von Java, daher die Forderung von Der_da, damit auch hier mal die Updates vor dem Exploit auf dem Markt sind.
 
@DerTigga: Zahlung bei genauer Erklärung wie die Bugs ausgenutzt werden mit Dokumentation und Exploit.
 
@DerTigga: los werden was ist das den für ne Einstellung? Lasst uns alle einsperren die mehr wissen als ein DAU?
 
@shriker: Alle einsperren ? Nö. Nur die die sich auf den Standpunkt stellen: ich muss gefälligst mit der gefundenen Sicherheitslücke Geld verdienen dürfen. Zahlt ein gewisser welcher jenige nicht, darf ich den notfalls auch erpressen, indem damit drohe, es an Kriminelle weiterzuverkaufen (?). Oder eben von vornherein per: wer das nötige Kleingeld hat, kriegt ne Kopie bzw. per einem: es würde möglicherweise mehrfach verkauft werden ausschließe, das die Firma, die es am meisten betrifft, der alleinige Käufer sein bzw. werden kann (?). Ganz davon abgesehen ging es mir nichtmal ums jemand einsperren, sondern eher darum, das ich es gut fände, wenn die nennen wir es mal "Netzgemeinde" solchen Typen gegenüber die bekannte Drei Affen Methode des nix gehört, nix gesehen, nix gerochen habens mal deutlich reduzieren würde oder sogar zu sowas wie nem Gegenangriff übergehen würde. Ja mir ist klar, das das eine Illusion ist. Denn die Denkweise: Oracle oder Microsoft oder eben Google sind schließlich große und reiche Firmen, also wenn DIE nicht das Geld SO dicke haben, das sie lockerflockig "mich, den kleinen Hacker" bezahlen können, na wer denn sonst ??, ist nunmal weit verbreitet.
 
@DerTigga: Vllt verdienten diese Menschen ihre Brötchen mit aufdecken von Sicherheitslücken, es ist ja nicht so das einem beim Mittagessen so nebenbei mal auffällt das der Browser unsicher scheint und es daran liegt. Diese Leute wollen vllt auch unerkannt bleiben weil das gesellschaftliche Probleme bereiten kann, man auch unabhängig sein will. Die sehen die Firmen eher als Auftraggeber und wenn man Java benutzen muss warum darf man keine Sicherheitslücken ausfindig machen? Er/Sie/Es muss seine Brötchen verdienen also verkauft er es egal an wen, wenn aber die Firmen einen akzeptablen Preis bezahlen werden die Informationen auch gerne weitergereicht aber warum geldgeilen Firmen das als Geschenk überreichen?
 
@shriker: mit der Argumentation könnte man sich auch das verschicken von sehr gefährlichen Viren per Briefumschlag rechtfertigen. Muss man einfach dürfen, weil man muss ja schließlich Geld / Brötchen verdienen .. sagte der Besitzer einer Spezial Reinigungsfirma ? "Wieso erteilt das Weiße Haus mir nicht gleich und offiziell einen Arbeitsauftrag, wieso muss ich die erst aufscheuchen ? Die könnten doch eigentlich wissen, das ich der beste von den Besten bin, sie mich nötig haben ! (?) Das man die zu ihrem Glück zwingen muss, iss echt ne Frechheit von denen. Die sind bestimmt nur einfach geldgeil, na wartet, das treib ich euch aus.. "
 
@DerTigga: Es ist mir schon klar das das verkaufen nicht legal ist ABER muss immer alles schlecht sein nur weil von 3 Menschen beschlossen worden ist das es verboten ist? Solang das nicht an Verrückte Weltzerstörer verkauft wird ist es ja noch iO. Meist wird das eh von Firmen gekauft um die Konkurenz auszuleuchten. Lieber findet ein unabhängiger solche Lücken als das eine Firma oder ein Staat solche Leute anstellt um damit was weiß ich zu machen in der jetzigen form bleiben diese exploits meist nicht lange.
 
@shriker: deiner Meinung nach ist das nach Sicherheitslücken suchen wollen zu hohem Prozentsatz kein selbst ausgestellter Arbeitsauftrag ? Da gibt es kein denjenigen dazu treibendes Ego, sondern es ist viel öfter /eher ein bezahlter Arbeitsplatz ? Zumindest ich tue mich da ziemlich schwer an letzteres zu glauben.. ;-)
 
@DerTigga: Ich würde sagen die die fest Angestellt sind finden die Lücken ja schon vorm Erscheinen.
 
Warum bezahlen ? Jede Person die eine Sicherheitslücke nutzt, macht dies weil sie etwas kriminelles vor hat. Also eine Tat die Gesetzlich strafbar ist. Ich sehe keinen Grund für einen "normalen" PC Nutzer eine Sicherheitslücke zu suchen, finden und gegebenfalls zu nutzen. Dies machen nur Personen, die sich illegal bereichern oder Schaden anrichten wollen. Nur zum klar stellen: ich rede nicht von Fehler in einer Software die zu Abstürzen oder sonstigen Fehlfunktionen führt !
 
@Brassel: weil die entdecker idR nicht diejenigen sind die sie letztlich ausnutzen sondern dritte die sich daran dann bereichern und den nutzern schaden zufügen können - welcher art auch immer. Der anbieter einen entsprechenden software hat eine sorgfaltspflicht um auch die nutzer zu schützen, dem würde er u.a. damit nachkommen.
 
@Brassel: Schwachsinn.
 
@[Elite-|-Killer]: Was bitte ist an meiner Aussage Schwachsinn ?
Ich als "normaler" Nutzer kann Sicherheitslücken gar nicht nutzen weil ich nicht weiß wie es geht. Also muss ich mich erst damit vertraut machen. Warum mache ich mich damit vertraut ? Weil ich diese Sicherheitslücken in irgendeiner Form nutzen will. Und jetzt soll mir keiner sagen:"um die Software sicherer zu machen". Das ist nämlich Schwachsinn. Wo kein Pc Nutzer ist der die Sicherheitslücken für irgendwas nutzen will, ist es egal ob eine Lücke vorhanden ist oder nicht.
 
@Brassel: Vielleicht solltest du dich nicht als den Maßstab aller Dinge sehen. Es soll ja auch noch Menschen geben, die einfach nur neugierig sind (ohne dabei gleich kriminell zu sein, geht's noch?), die in Forschung und Wissenschaft arbeiten, und und und... Selbst ich habe schon vor 8 Jahren an Sicherheitslücken gespielt ohne jegliche kriminelle Absicht und ohne jeglichen wissenschaftlichen oder arbeitstechnischen Hintergrund. Warum? Aus purer Neugier.
 
Java: Entwickelt von Grund auf neu und das mit bedacht!
 
Java entwickelt sich wohl zum neuen Flash. Habe mich eh gewundert warum das in der Vergangenheit so wenig kritisiert wurde.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte