wenn wir schon bei kritischen plugin-lücken sind, auch java hat wieder mal eine 0-day-vulnerability: http://www.cert.at/warnings/all/20130110.html
Java 0-day
-
madperson -
10. Januar 2013 um 19:33 -
Erledigt
-
Mal zum Verständnis meinerseits ein Gedankenspiel:
Nemen wir an, ich habe Java installiert, weil ich es für andere PC Komponenten brauche.
Aber die Plugin .dll, die der Firefox im about:plugin anzeigt, habe ich vom PC gelöscht.Kann ich dann normal auf dem PC mit Java arbeiten, aber der Firefox ist durch das entfernen der Plugin Datei wieder abgesichert? :-??
Danke im Voraus für Eure Erklärungen und die Möglichkeit, was dazu lernen zu können.
-
Natürlich kannst du. Die dll ist ja nur eine Art Kleber / Stecker der das Internet mit dem Java verbindet.
P.S. der Fx war immer abgesichert. Sicherheitslücken gibt es nur im OS.
-
Zitat von .Hermes
P.S. der Fx war immer abgesichert. Sicherheitslücken gibt es nur im OS.
Diese Aussage halte ich für sehr irreführend, denn durch ein scharf geschaltetes Browser-Plugin entsteht genau das Sicherheits-Risiko für den Anwender... -
Jetzt weiß ich wirklich nicht wer nun mehr zu einer Irritation beigetragen hat.
Pie hat die Plugin-dll gelöscht, darum war die Situation …
Zitat von Sören Hentzscheldenn durch ein scharf geschaltetes Browser-Plugin entsteht genau das Sicherheits-Risiko für den Anwender...
nicht mehr gegeben.
Und der Satz …
Zitat von .Hermesder Fx war immer abgesichert.
war nur auf dieses Thema bezogen.
-
Die zitierte Aussage war pauschal formuliert, ein Bezug auf eine spezielle Situation kann ich da beim besten Willen nicht herauslesen, wenn du sagst, dass es nur im Betriebssystem Sicherheitslücken gibt...
-
Zitat
Pie hat die Plugin-dll gelöscht
Wobei das die blödeste Lösung dafür ist, nicht umsonst hat es Programm und Systemoptionen :roll:
Hintergrund meiner Anmerkung ist der, dass Java per MSI installiert wird und MSI hat Kontrollmechanismen für defekte und manipulierte Installationen. Zudem werden getätigte Installationsoptionen beachtet und übernommen! Im worst case ist Java schon längst wieder aktiv und er merkt es nicht. -
Java SE Runtime Environment 7 Update 11 ist soeben erschienen.
http://www.oracle.com/technetwork/ja…ds-1880261.htmlErgänzend dazu: http://www.heise.de/newsticker/mel…an-1782827.html
-
Dennoch hat Oracle mit Java für mich das Vertrauen verspielt.
Die erlangen Kenntnis über eine Sicherheitslücke.
Nach einigen Wochen (Java Patches kommen nicht so häufig und zeitnah) patchen sie diese Lücke und reissen damit eine neue, eklatante auf.
Wieviele von diesen kritischen Lücken sind in der Java Software wohl noch, von denen man (noch) nichts weiß?
Also, ich will diese Software vorerst nicht mehr auf meinem Rechner haben. :-??Klar, das kann jeder Firma jederzeit passieren.
Aber hier wurde dergleichen sogar mehrfach publik, und damit ist mein Vertrauen in Oracle und Java erstmal weg.
Auf meinem Rechner gibt es eh nur zwei Applikationen, die Java bräuchten, und ich kann erstmal gut ohne die. -
Sorry, aber dies ist nicht erst so, seit Oracle Java "betreut".
Java wird immer eine riskante Software sein, deswegen bleibt das Teil hier auch grundsätzlich deaktiviert.. -
Zitat
Oracle hat am regulären Patchday zahlreiche Reparaturen zu Fehlern in seinen Anwendungen veröffentlicht, die meisten in MySQL. Für noch offene Sicherheitslücken in Java soll es erst im Februar Patches geben.
http://www.golem.de/news/oracle-pa…1301-96956.html
ZitatIn einem Untergrund-Forum im Netz verkauft ein Mitglied einen neuen Angriffscode, der ebenfalls auf eine äußerst kritische Schwachstelle in Java 7 abzielt. Einen Patch gibt es dafür selbstverständlich noch nicht und vermutlich wird dieser auch nicht in absehbarer Zeit erscheinen, sofern dafür keine konkreten Informationen bekannt werden.
Immerhin will der Verkäufer seinen Code nur an zwei Personen verkaufen - und zwar zu einem Preis in der Höhe von 5000 US-Dollar. An einen interessierten Käufer wurde das Exploit für Java 7 bereits übergeben. -
Java 7 Update 11 auch schon wieder unsicher
Neuer Java-Exploit offenbar im Umlauf -
Hier dazu auch noch einen Hinweis:
http://www.heise.de/security/meldu…va-1785609.htmlAuf meinem Rechner wird es kein Java mehr geben!
-
Ist ja nicht direkt eine neue Sicherheitslücke im ganz engen Sinne, aber ich packs mal hier rein:
ZitatSicherheitsforscher Adam Gowdiak weist darauf hin, dass die von Oracle gerade erst eingeführte neue Sicherheitsmaßnahme für das Java-Browser-Plugin bereits umgangen werden kann. [...] Laut Godwiak sei die Veränderung der Sicherheitseinstellungen rund um die Applets schlicht nicht wirksam. Zum Beweis hat er bereits ein Proof-of-Concept-Applet erstellt, das jede Sicherheitseinstellung umgehen kann. Dieser Exploit könnte seiner Meinung nach letztlich nur dadurch verhindert werden, dass die "Click to Play"-Funktion für Plugins von Chrome und Firefox aktiviert wird.
Neue Java-Schutzfunktion bereits ausgehebelt
Bei Firefox wird Click-to-Play übrigens in Kürze die Standard-Einstellung für alle Plugins außer die zum jeweiligen Zeitpunkt aktuelle Flash-Version werden.
-
Hallo zusammen!
Das Folgende ist keine Sicherheitslücke im neuen Java (die werden aber mit Sicherheit bald wieder folgen), sondern "nur" eine weitere Rufschädigung für die Firma Oracle:
http://www.heise.de/security/meldu…es-1797907.htmlBruno
-
87% aller Web-Exploits zielten demnach 2012 auf Java-Schwachstellen ab.
-
.. war dies in den vergangenen Jahren anders? :twisted:
-
Im letztjährigen Bericht finde ich dazu leider keine Statistik, aber Anfang des Jahres 2012 lag Java bei "nur" rund 60%, deswegen vermute ich, dass diese Zahl in den letzten Jahren tatsächlich ein bisschen weniger alarmierend gewesen sein könnte, wenn auch natürlich trotzdem viel zu hoch.
