Sicherheitslücke in neuester Java-Version entdeckt

Zitat von heise dazu "Alle, die genug von Hiobsbotschaften haben und das Plug-in eigentlich nicht benötigen, sollten Java deinstallieren. "
Meine Rede. Außerdem ist Java schon vom Konzept her nicht sicher. Da kann es noch so viele Patches geben. Lücken wird es weiterhin geben.

Zitat von Darklord666

"Alle, die genug von Hiobsbotschaften haben und das Plug-in eigentlich nicht benötigen, sollten Java deinstallieren. "

Auch bei Heise gibt es Praktikanten.
Der Satz ist reiner Unfug.

... weil?

… hier das Kind mit dem Bade ausgeschüttet wird.

Das Plugin stellt nur eine Schnittstelle zum installierten Produkt dar. Wenn diese Schnittstelle nicht gegeben ist, entsteht auch kein Sicherheitsrisiko über beliebiger Browser durch attackierende Seiten.

Es soll ja Systeme geben, bei denen das Java eine essentielle Umgebung bildet.

Ja, aber wenn man das Plugin deaktiviert kann man Java eh nicht nutzen und wenn man es lange nicht nutzt wird man es vermutlich auch nicht updaten. Durch die Deinstallation vermindert man m.E. die Gefahr, nach Wiederaktivierung des Plugins mit einer veralteten Java-Installation im Netz zu sein. Es kann ja auch sein, dass nach dem Update noch Reste der alten Version auf dem Rechner verbleiben. Deshalb ist es m.E. sinnvoll, wenn man sich von Java komplett trennt, solange man es nicht unbedingt benötigt.

Wenn man mal über Tellerrand eines popeligen Heim-PC schaut, wird die Bedeutung des Java vielleicht etwas klarer.

Manche Anwendungen setzen eine bestimmte Version des Java voraus. Auch wenn sie als veraltet tituliert wird, man kann darauf nicht verzichten. Ein Sicherheitsrisiko entsteht dadurch nicht.

Hier z.B. kann auf Java nicht verzichtet werden, es ist nahezu eine essentielle Notwendigkeit. Etwaige Bedenken bezüglich einer Sicherheit kann ich nicht teilen.

Zitat von .Hermes

Das Plugin stellt nur eine Schnittstelle zum installierten Produkt dar. Wenn diese Schnittstelle nicht gegeben ist, entsteht auch kein Sicherheitsrisiko über beliebiger Browser durch attackierende Seiten.

Erfrischend knackig auf den Punkt gebracht.

Zitat von Darklord666

Außerdem ist Java schon vom Konzept her nicht sicher. Da kann es noch so viele Patches geben. Lücken wird es weiterhin geben.

Das kann man so kategorisch nicht sagen.

Du wirbelst hier offenbar das gesamte Konzert der Java-Anwendungen und das reine Browser Plugin (JRE, JDK, also die Runtime) durcheinander.

Java-Anwendungen (ausgenommen die Schnittstelle der Java-Applets) sind ziemlich uneinnehmbar und in der Vergangenheit nicht durch nennenswerte Sicherheitslücken aufgefallen.

Wäre tatsächlich generell in Java geschriebene Software von den Sicherheitslücken betroffen, wäre in weiten Teilen der elektronischen Technikwelt längst das Licht ausgegangen.

Der Hype um Java-Sicherheitslücken bezieht sich also nicht auf Java-Anwendungen allgemein, sondern lediglich auf das aktivierte Browser Plugin, welches es erlaubt, über die JDK/JRE-Runtime innerhalb des Browsers Payload einzuschleppen oder gleich im Browser auszuführen.

Auch die Java Runtime (JRE/JDK) trägt kein systeminhärentes Sicherheitsrisiko in sich. Angreifbar wird die Geschichte erst dann, wenn die Runtime als Plugin im Browser aktiviert ist. Somit gibt es keinen vernünftigen Grund aus Sicherheitsaspekten von der Installation abzuraten. - Vorausgesetzt, das Browser Plugin ist inaktiv.

Danke für die Ausführungen. Docc. Sehr interessant und informativ. :klasse:

Ich meine nur, dass man das Problem etwas globaler betrachten muss, da es Millionen von Java-Nutzern auf der Erde gibt, die sich des Tun und Wirkens von Java nicht wirklich bewusst sind. Viele wissen überhaupt nicht, was Plugins sind und vertrauen einfach nur auf das, was der Hersteller sagt, da sie dass Produkt (Java) bewusst oder auch unbewusst nutzen um diverse Webelemente und Anwendungen zu nutzen.

Deshalb finde ich den Hinweis von US-CERT, dass man Java deinstallieren sollte, solange man Java nicht unbedingt braucht, sinnvoll. Man muss bedenken, dass ca. 80 % der Internetnutzer (schätze ich) ziemlich unbedarft sind und das Medium Internet nutzen ohne sich Gedanken über die Gefahren und Nachteile machen zu wollen und denen jedwedes Sicherheitskonzept völlig egal ist. :traurig:

mozilla wird in zukunft dazu übergehen, java standardmäßig auf click-to-play umzustellen auch wenn keine akuten sicherheitslücken bekannt sind: https://bugzilla.mozilla.org/show_bug.cgi?id=843373

hab für die 2 seiten die java benötigen nun auf pugins immer ausführen geklickt, das war mir echt zu nervig

Zitat von madperson

mozilla wird in zukunft dazu übergehen, java standardmäßig auf click-to-play umzustellen...

Das ist mal eine echte Innovation... :klasse:
BTW: Hier sind alle Plugins auf click-to-play umgestellt. Nichts nervt, wenn ich nur mal was lesen möchte... Volle Aktivierung gilt für NoScript...

Hallo zusammen,

ich ärgere mich auch immer über Java-Applets - nicht nur wegen der Sicherheitsrisiken, sondern auch, weil sie zum Start erst einmal geladen und initialisiert werden, und sich dann zudem manchmal auch noch Web-untypisch bedienen lassen. Mittlerweile gibt es Sie - Gott sei Dank - ziemlich selten, aber manche Anbieter zwingen einen immer noch dazu (sofern man deren Dienste nutzen möchte oder muss).

Was bietet Java eigentlich, was die Kombination HTML/CSS/JavaScript/PHP nicht kann?

.. und täglich was Neues...
http://www.heise.de/security/meldu…en-1814512.html
Der Entschluss von Mozilla Java dauerhaft auf Click-to-Play umzuschalten kann nur immer heftiger begrüßt werden.... :twisted:

Laut einer heise-Meldung [Blockierte Grafik: http://i16.tinypic.com/6pf0wvr.png] aber immer noch mit Lücken.

... ich habe Java deinstalliert und schaue, ob ich es überhaupt benötige.
Die Aussage, das man Java installiert haben muss, um LibreOffice nutzen zu können, erweist sich jedenfalls als nicht korrekt.. (kam irgendwo mal....)

:idea:
Danke, ich nutze nur Calc und Writer...

... und wieder grüsst das Murmeltier ... das neueste Java jre-7u17 ist da!