Java: Erneut zwei 0-Day-Schwachstellen gefunden

Die Sicherheitsexperten der Firma Security Explorations machten in der Vergangenheit bereits mehrfach auf kritische Lücken in Java aufmerksam. Nun war es ihnen möglich, zwei weitere kritische Schwachstellen zu finden. mehr... Java, Sun Microsystems, Webtechnologie Bildquelle: Sun Java, Sun Microsystems, Webtechnologie Java, Sun Microsystems, Webtechnologie Sun

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
da werden noch so einige lücken sein..
witzig wie alle verwundert tun - software ist von menschen geschrieben - da gibt es immer fehler und lücken.
 
@g100t__: gefühlt ist Java eine wandelnde Sicherheitslücke... Meines Erachtens gehört Java von Grund auf neu Programmiert - das gepatche reißt nur an anderer Stelle was auf - wie auch diese gefundene Schwachstelle kraftvoll unter beweis gestellt hat.
 
@Stefan_der_held: Soweit ich weiß, wird meinst der Browserplugin gefixt, und nicht die Sprache (oder das Framework) selber.
 
@g100t__: Nur gibt es einen Unterschied zwischen "Jede Software hat Lücken" und jede Woche neue 0days, wie es bei Java der Fall ist.
 
@g100t__: Naja aber vergleich mal die 0day exploits der verschiedenen plugins. Oracle scheint hier ja wirklich unfähig zu sein. Die brauchen immer Ewigkeiten bis der Bug gefixt ist und dann ist auch sofort unmittelbar wenige tage drauf der nächste Exploit da. So extrem empfinde ich das bei anderen Plugins (z.B. Flash) nicht.
 
@Ripdeluxe: Naja also Flash ist auch ne wandelnde Krankheit, dritte Mal updaten in diesem Monat *rolleyes* so kann man auch n sysadm beschäftigen :D
 
@g100t__: Ja... aber "Day 0" Patches sind leider ein recht neues Laster!
 
Ist doch gut wenn die Lücken gefunden und geschlossen werden.
 
@KnolleJupp: WENN sie egschlossen werden (bzw wann)
 
Die Software wird von den vielen Lücken profitieren und so beständig weiterentwickelt und geflickt. Bei anderen Programmen wartet man teilweise ewig.
 
@der_Dummschwätzer: gerade bei Java wartet man leider ewig seit es von Oracle übernommen wurde. So einen langsamen Umgang mit Sicherheitslücken kann sich kein Konzern leisten, Java ist auf dem besten Weg seine Vormachtstellung einzubüßen.
 
@otzepo: Mein Eindruck der Patchgeschwindigkeit ist bei mir eher umgekehrt - seit der Übernahme durch Oracle kommen die Updates zeitnäher und schneller. Die Zyklen waren bei SUN viel langsamer.
 
@departure: ich hab eben mal nachgesehen wie ich zu meiner annahme komme. in den letzten drei jahren sind 1/3 aller java-sicherheitslücken aufgekommen, wenn man 1996 beginnt zu zählen. kann also ungerecht sein zu sagen es wär schlimmer geworden, aber oracle hat sich echt nicht mit ruhm bekleckert. die sicherheitslücken des letzten updates waren teilweise über 6 monate vor dem release bekannt und auch gemeldet! (und wurden auch fleißig ausgenutzt) irgendwie sollte ein wohlhabender konzern da schon etwas mehr investieren und zeitnah reagieren können, auch wenn es nur eine sicherheitsabfrage ist beim browserplugin ob es wirklich auf der seite anspringen soll, stattdessen müssen die browserhersteller updates rausbringen um java im browser zu deaktivieren.
 
@otzepo: So einen detaillierten Einblick wie Du habe ich da nicht, mir ist die Historie dazu nicht so bekannt, ich habe eher meinen eigenen Eindruck wiedergegeben, und ich meine nach wie vor, daß z. B. die schiere Anzahl an Patches innerhalb einer Reihe (also z. B. innerhalb JRE 6.X) viel höher liegt als früher zu SUN-Zeiten. Ich kann mich allerdings auch täuschen.
 
@otzepo: Vormachtstellung? Java profitiert davon, dass Unis Java einsetzen weil die Profs keine Ahnung von C++ oder .NET haben. Wenn der Nachwuchs nicht so geführt werden würde, dann hätte Java schon lang kein Fuß mehr in der Tür. So gut wie jede andere Hochsprache bietet mehr Komfort für den Entwickler und höhere Performance für den Kunden.
 
Gibt es eine Möglichkeit Java Plugins im Firefox dauerhaft zu deaktiviren? Ich brauche Java für gewisse Programme, aber nicht im Browser. Nach jedem Java Update ist das Browserplugin aber wieder aktiv.
 
@Eistee: 2 möglichkeiten: 1. erweiterungen java deaktivieren, 2. möglichkeit: systemsteuerung -> java -> sicherheit: "Java im Browser aktivieren" haken weg, somit is in keinem browser mehr java als plugin zu finden
 
@Eistee: Ich habe Java letztes Jahr deinstalliert und nutze seit dem PortableJava für die Programme, die es brauchen. Meine Browser wissen also nicht, dass ich Java auf dem System habe :-)
 
@doubledown: Geht damit der JDownloader auch noch?
 
@MrKlein: Jo, funktioniert bestens damit.
 
@doubledown: Wie genau funktioniert das dann? Wie starte ich den JD und sag er soll Java Portable nutzen? Das ist nämlich das einzige wofür ich Java im moment noch brauche...
 
@MrKlein: Du musst nur rechts auf das JD-Icon klicken und dann unter Eigenschaften->Verknüpfung->Ziel das hier eingeben: "D:\Java\bin\javaw.exe -Xmx512m -jar D:\JDownloader\JDownloader.jar", wobei Du noch den Pfad anpassen musst, wo sich javaw.exe und JDownloader.exe bei Dir befinden.
 
Java? Gelöscht...
 
Immer abwechselnd, Java, Abode Flash, Abode Reader.
 
@iWindroid8: Kartell... ;)
 
@iWindroid8: wer benutzt schon noch den Adobe Reader?
 
@Icetim: Sehr viele DAUs.
 
@iWindroid8: Nicht nur die. Seit die startgeschwindigkeit deutlich verbessert wurde ist die Motivation, Alternativen zu suchen geringer......
 
@DRMfan^^: Brauchst nicht zu suchen, hol dir X-Change Viewer. ;)
 
@iWindroid8: Oder PDF.js oder Foxit oder Nitro oder Sumatra ...... weiß ich. Aber wenn man schonmal wählt, sollte man auch testen, welcher einem am meisten zusagt ^^
 
Kann mir mal jemand erklären warum die 0Day Schwachstellen heissen? Ich dachte es gäbe nur 0Day Exploits, weil die für die besagte Schwachstelle noch am selbigen Tag entwickelt wurden, an dem die Schwachstelle entdeckt wurde.
 
@maatn: Wenn man sprachlich ganz korrekt argumentiert, dann müsste der Exploit am selben Tag entwickelt werden, an dem die Lücke entdeckt wird. Aber der Begriff wird halt so und so benutzt. Letztendlich auch egal - 0Day heißt einfach, dass die Lücke noch nicht gepatcht wurde.
 
Liegt einfach daran, weil Java jetzt auf Herz und Nieren geprüft wird von sämtlichen Sicherheitsunternehmen und zudem noch in aller Munde ist.

Das gleiche wäre bei jeder x-beliebigen (ähnlichen) Plattform der Fall.

Und ich finds gut, dass nun Java so intensiv nach Lücken durchsucht wird, welche immer geschlossen werden auch wenn dies mal ein wenig länger dauert.
 
macht es OpenSource!
 
@shriker: Gibts schon, nennt sich OpenJDK!
 
@root_tux_linux: schon aber die läuft halt nur auf Linux-distros...
 
@shriker: Linux und Unix, noch ein Grund mehr zu wechseln? ;)
 
@root_tux_linux: Hab ich schon vor 2 Jahren ;)
 
@shriker: Na, dann ist doch alles astrein und du bist sorgenfrei :-P
 
@root_tux_linux: Nur in der arbeit und auf dem Gaming PC siehts anders aus :(
 
@shriker: Auf nem Gaming PC braucht man kein Java und wenn der Rechner auf der Arbeit ausfällt schwärzt man den Admin an und sagt wie üblich "ich hab nichts getan". :-P
 
@root_tux_linux: Java für Minecraft, und blöd wenn man der Admin is.
 
@shriker: Tja, ein guter Admin würde einfach alle Java Applets mit der Firewall blocken, schliesslich gehts ja um Ausnutzung über Browser und auch wenn du das Plugin für den Browser deaktivierst, kannst du noch immer Minecraft zocken. Keine Ahnung wo dein Problem ist oO
 
@root_tux_linux: Spezielle Anwendungen, die Java im Browser benötigen.
 
@shriker: Deshalb auch Contentfilter der Firewall. Dann könnt ihr schön Lokal oder per VPN zugreifen auf euren Java kram, aber wenn ein User auf die Idee kommt auf www.bumsibumsijava.com zu gehen werden die Applets nicht geladen :)
 
@root_tux_linux: Genau das brauchen sie aber...
 
@shriker: Was hält dich davon ab es für Windows zu bauen?
 
@shriker: Es gibt schon OpenJDK. Wollte ich mir auch letztens angucken, aber bei OpenJDK ist man nicht der Meinung, dass Windows interessant wäre. Und mir ein Cygwin aufsetzen, um OpenJDK zu kompilieren, sehe ich nicht ein.
 
Nicht aufregen Leute^^ Es werden (leider) noch mehr Lücken dazu kommen..
 
Jetzt muss ich mal ganz blöd fragen: ich hab NoScript als Erweiterung für den FF, welches ja alle Javascripte blockiert. Schützt mich das vor der Ausnutzung dieser Schwachstellen (da ja Java gar nicht ausgeführt wird)?
 
@BananaDom: Nein, weil Java und Javascript zwar ähnlich klingen aber technisch soweit nichts miteinander zu tun haben. Allerdings kann man in NoScript auch einstellen, dass Java auf unsicheren Seiten blockiert wird. im Addon auf Einstellungen und dort Eingebettete Objekte. Wenn dort "Java" angewählt ist, ist es zumindest auf Seiten blockiert, denen du noch keine Freigabe erteilt hast. Da aber NoScript auch nur eine Software ist und somit auch Schwachstellen haben könnte, würde ich Java deinstallieren, wenn du kein Programm nutzt, was es explizit benötigt. Im Zweifel also Deinstallieren und schauen, ob irgendwas nicht mehr läuft. :)
 
@BananaDom: JavaScript ist nicht das selbe wie Java, noch nicht einmal das Gleiche. Sicher nicht zuletzt wegen der Ähnlichkeit ihrer Namen werden die beiden recht häufig miteinander verwechselt oder gar für identisch gehalten, dabei besteht zwischen Java und Javascript ein grundlegender Unterschied. Wenn auch beide objektbasiert sind, so handelt es sich bei Java um eine Programmiersprache , während JavaScript eine sog. Skriptsprache darstellt. Mit anderen Worten werden mit der erstgenannten Anwendungen im eigentlichen Sinne des Wortes, also umfangreichere Programme erstellt. Während die Skriptsprachen für viel kleinere Programmieraufgaben zuständig sind.
Mehr Info's suche bei Google: javascript vs java
 
Ist alles kein Problem, wenn man Java im Browser deaktiviert hat. Der IE nimmt das Plugin dankenswerterweise erst explizit auf Nutzeranforderung an.
 
Welcher "Experte" empfiehlt bitte das vollständige Entfernen von Java? das ist Unsinn....

............................ PS: Ich finde es sehr Dreist von Oracle, dass man Java 7 aufgezwungen bekommt, wo die meisten Lücken der neueren Zeit NUR Java 7 betreffen.....
 
@DRMfan^^: halte diese Aussage ebenfalls für Schwachsinn ! Wer surft nicht hier und da im Netz und benötigt auf immer mehr Seiten dieses unsägliche Java um deren Funktionalität vollumfänglich nutzen zu können? Gerade eben in den vielen Shops ... Genauso könnte man auch Empfehlen, wer Windows nicht unbedingt braucht, sollte es aus Sicherheitsgründen besser vollständig Deinstallieren! Lernen wir doch alle noch den Umgang mit Ubuntu/Linux ?
 
@Hobbyperte: Ich weiß nicht, wann ich das letzte mal Java im Browser (oder bei einem Shop) gebraucht hätte?!
 
@DRMfan^^: Bei aktiviertem NoScript bekomme ich ständig Rückmeldungen von Webseiten, das Java deaktivert sei ... und ohne dem, funktionieren viele Menüs und dergleichen nicht.
 
@Hobbyperte: Du meinst wohl JavaSCRIPT - das ist was ganz anderes
 
@DRMfan^^: ok - so genau kenne ich mich damit nicht aus, hätte aber vermutet, das Java Voraussetzung für JavaScipt ist, das hielte ich jedenfalls für einleuchtend.
 
@Hobbyperte: Das tun viele - ist aber nicht so. JavaScript interpretiert der Browser selbst, Java(-Applets) die Java-VM.

Soweit ich weiß hheißt es nur JavaScript, weil die Schreibweise des Codes ähnlich ist
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles