Java SE17U11

News rund um die Java-Welt

Moderator: wegus

Antworten
Benutzeravatar
smurfi
Site Admin
Beiträge: 1629
Registriert: 29.06.2006, 11:33
Wohnort: Wuppertal
Kontaktdaten:

Java SE17U11

Beitrag von smurfi » 14.01.2013, 05:34

Hallo,

Oracle veröffentlicht ein Java Update für die zuletzt aufgetretten 0-Day-Lücke in Java.

http://www.oracle.com/technetwork/java/ ... index.html

Gruß
Michael

Benutzeravatar
Olek77
Beiträge: 669
Registriert: 21.03.2009, 13:09

Re: Java SE17U11

Beitrag von Olek77 » 15.01.2013, 00:01

Hi Michael,

Danke für den Hinweis.

Hoffentlich werden nicht zu viele Leute ängstlich.
Bei meinem Virenscanner ( Avast ) kam gleich die Meldung man
solle Java deaktivieren oder besser noch deistallieren ... :roll:

Das BSI warnt ...http://www.golem.de/news/bsi-raet-java- ... 96887.html

Davon, dass es den Patch schon gibt liest man nichts...

Grüße,

Olek
- Netbeans Certified Associate -

Benutzeravatar
Olek77
Beiträge: 669
Registriert: 21.03.2009, 13:09

Re: Java SE17U11

Beitrag von Olek77 » 15.01.2013, 00:15

... ach so

wie verhält es sich mit java 1.6 ?

Ist dies betroffen oder nicht?

Viele Grüße,

Olek
- Netbeans Certified Associate -

Benutzeravatar
smurfi
Site Admin
Beiträge: 1629
Registriert: 29.06.2006, 11:33
Wohnort: Wuppertal
Kontaktdaten:

Re: Java SE17U11

Beitrag von smurfi » 15.01.2013, 05:53

Hallo,

zu Java 6 habe ich nur das gefunden.
heise online hat geschrieben:Unklar ist derzeit noch, ob die Lücke auch in dem 6er Versionszweig klafft. Bei einem ersten Test von kafeine zündete der Exploit unter Java 6 nicht.
Aber trozdem finde ich die Panik mache nicht sehr gut, viel mehr sollte man sein verhalten im Web überdenken.

Gruß
Michael

Benutzeravatar
nigjo
Beiträge: 607
Registriert: 08.09.2009, 09:43
Wohnort: Aachen
Kontaktdaten:

Re: Java SE17U11

Beitrag von nigjo » 15.01.2013, 07:35

smurfi hat geschrieben:Aber trozdem finde ich die Panik mache nicht sehr gut, viel mehr sollte man sein verhalten im Web überdenken.
Die Deinstallationsempfehlung des BSI halte ich auch für übertrieben. Zumal die beschriebene Problemativ "NUR" das Java-Plugin betrifft. Das ist bei mir eh per se immer deaktiviert. Für Desktop-Anwendungen gibt es gar keinen SecurityManager den man umgehen könnte.

Jens
Man sollte seine Werkzeuge kennen. Ansonsten haut man sich mit dem Hammer nur auf die Finger.

--
NetBeans Certified Engineer - Java Getriebe

Benutzeravatar
Olek77
Beiträge: 669
Registriert: 21.03.2009, 13:09

Re: Java SE17U11

Beitrag von Olek77 » 15.01.2013, 11:04

Hallo,

Also bei Chip schreiben sie es würde auch die Desktop-Applikationen betreffen.

Als Beispiel wird der JDownloader erwähnt.

http://www.chip.de/news/Sicherheitsluec ... 21519.html

Nach einem Update des JRE ist doch aber keine Gefahr mehr zu befürchten... selbst wenn der JDownloader mit 1.7u9
daherkam ( wieso sollte der seine eigene JVM mitbringen und nicht die vom System nutzen, wenn die neuer ist? )

Grüße,

Olek
- Netbeans Certified Associate -

Benutzeravatar
nigjo
Beiträge: 607
Registriert: 08.09.2009, 09:43
Wohnort: Aachen
Kontaktdaten:

Re: Java SE17U11

Beitrag von nigjo » 15.01.2013, 12:08

Olek77 hat geschrieben:Also bei Chip schreiben sie es würde auch die Desktop-Applikationen betreffen.
Tschuldigung. Wer Artikel mit "Update-Alarm für Internetnutzer" beginnt hat bei mir gleich ein paar Minuspunkte gesammelt. Zudem hat der Autor den Artikel von Sohpos falsch übersetzt/interpretiert:
Chip Artikel hat geschrieben:Die Sicherheits-Experten von Sophos weisen allerdings darauf hin, dass damit nur Java-Applets im eigenen Browser vor der Lücke geschützt werden. Eigenständige Programme auf Java-Basis können weiterhin ein Einfallstor für Schädlinge darstellen
Sophos Artikel hat geschrieben:Note that the vulnerabilities Oracle just patched don't apply to standalone Java applications or server-side Java installs. They apply only to applets, which run inside your browser.
Da steht, dass Desktop- und Serveranwendungen von den Patches nicht betroffen sind. Aber das liegt vor allem daran, dass diese Anwendungstypen diese Lücke überhaupt nie hatten.

Betroffen war bei dieser Lücke (und auch bei der letzten kritischen bei der der BSI gewarnt hatte) der so genannte SecurityManager von Java. Der soll im Browser dafür sorgen, dass das Applet z.B. nicht auf die lokale Platte des Nutzers zugreifen kann. Der macht noch mehr, aber dieser SecurityManager ist quasi der Garant für die viel beschworene "Sandbox" in der Java innerhalb des Browsers läuft. Die Exploits haben es nun geschafft diesen SecurityManager zu deaktivieren. Der letzte konnte dies sogar ohne dass der User irgendeine Meldung bekam. Das machte und macht ihn so gefährlich.

Bei (Java-)Desktop Anwendungen gibt es aber gar keine "Sandbox". Und somit von vorn herein gar keinen SecurityManager. Ich würde in der Schlussfolgerung des Artikelautors vielleicht das "auf Java-Basis" streichen. Dann würde die Aussage sogar wieder stimmen.

Jens
Man sollte seine Werkzeuge kennen. Ansonsten haut man sich mit dem Hammer nur auf die Finger.

--
NetBeans Certified Engineer - Java Getriebe

Benutzeravatar
wegus
Beiträge: 458
Registriert: 26.09.2006, 09:07

Re: Java SE17U11

Beitrag von wegus » 15.01.2013, 16:56

naja schlecht ist das was aus solchen Dingen dann entsteht:

http://www.zdnet.de/88139537/sicherheit ... -unsicher/

Das Image wieder loszuwerden ist nicht trivial. Man hat bei Flash gesehen wie schnell da eine Wachablösung kommen kann. Ehrlicherweise spielt Java bei Webanwendungen auf der Client-Seite ohnehin kaum noch eine Rolle. Es wäre ein Schritt nach vorn dies einzugestehen und den Bereich einfach komplett aus den Browsern zu entfernen und Java da zu verwenden wo es seine Stärken ausspielen kann.
Wenn etwas zu einfach klingt um wahr zu sein, dann ist es oft auch nicht wahr!

Benutzeravatar
smurfi
Site Admin
Beiträge: 1629
Registriert: 29.06.2006, 11:33
Wohnort: Wuppertal
Kontaktdaten:

Re: Java SE17U11

Beitrag von smurfi » 16.01.2013, 08:54

Hier gibt es noch einen sehr Interessanten Blog Eintrag von Tim Boudreau zu diesem Theme, aber leider nur in Englisch.

http://www.timboudreau.com/blog/read/Th ... in_English

Antworten