Plugins - Sicherheitslücken schließen

  • Es darf weiter spekuliert werden:

    ich habe soeben mit wiederum derselben Datei Java in einer neuen virtuellen Maschine installiert, die definitiv nie Java oder Yahoo gesehen hat; dennoch habe ich die Registry vorher und auch hinterher nach Yahoo absuchen lassen: Negativ.

    Es gab - wie immer - kein Angebot, die Yahaoo Toolbar zu installieren oder nicht zu installieren, es gab - wie schon zuvor berichtet - keine überhaupt wählbare Option beim Installieren außer eben der, der Standard-Installationsort wählen zu können.

    So, dann wollte ich es genau wissen und habe die Installationsdatei (siehe oben bei NightHawk und anderen) auseinander genommen (entpackt) und nach Yahoo (als String) durchsucht. Der String taucht tatsächlich ein einziges Mal in einer Datei auf, aber in einem Textstring, der nicht wirklich auf die Installation einer Toolbar schließen läßt. (Ich will es aber nicht völlig ausschließen, weil ich keine Wissenschaft daraus machen will.) Die besagte Datei hat 11 MB Größe, enthält also den wesentlichen Teil der Runtime und heißt auch entsprechend: rt.pack (rt = runtime).

    Kann es vielleicht sein, daß bei denjenigen, die die Toolbar (oder die betreffende Dialogseite) sehen, der Installer sie nachträglich herunterlädt? Da es sich um den Offline-Installer handelt, laße ich dabei keinen Netzwerkverkehr zu; dazu gibt es - wie auch mit der VM zu sehen, die gar keine Netzwerkkonfiguration hat - keine Notwendigkeit. Nachladen wäre jetzt die einzige Erklärung, die mir halbwegs plausibel erscheint.

    @GA, es geht hier nicht um das Automatische oder überhaupt das Online-Update, da hat man nun gar keine Kontrollmöglichkeit mehr. Die Sache mit der 14 & 15 ist eine ganz andere Angelegenheit. Das gab es früher, aber seit der 6er habe ich das nicht mehr gesehen.

  • Zitat von Cosmo

    da hat man nun gar keine Kontrollmöglichkeit mehr.


    Doch, man kann "nein" zur Update-Installation sagen oder "ja" und die Toolbar abwählen :wink:

    Zitat

    Die Sache mit der 14 & 15 ist eine ganz andere Angelegenheit. Das gab es früher, aber seit der 6er habe ich das nicht mehr gesehen.


    Mag sein, aber bei mir saß die "alte" noch, wie gesagt, im Mozilla Ordner. Irgendwie wird dieser Ordner vom Installer "übersehen". Ist ja auch wurscht. Es ist doch alles im grünen Bereich und die Registry werde ich nicht wegen irgendeines Zahlensalats aufsuchen :D

  • Zitat von NightHawk56

    [...] Der Aufwand, die Registry zu sichern, [...] ist mir persönlich jetzt zu groß; daher lasse ich das sein.

    Ja, ja, das schreibt man gern mal eben dahin. Letztendlich hat es mir doch keine Ruhe gelassen (bin halt Kontrollfreak) und habe mich weiter damit beschäftigt (und das bei dem geilen Wetter, ich Idiot!).

    Ich habe über die Systemsteuerung Java komplett deinstalliert, alle verbleibenden Reste (die kompletten Ordner

    Code
    %Programfiles%\Java
    %AppData%\Sun\Java

    gelöscht sowie %TEMP% and %TMP% geleert. Anschließend habe ich in der Registry die beiden oben erwähnten Schlüssel gelöscht (ja, ja, nachdem ich sie gesichert hatte) und danach den Rechner neu gestartet. Dann habe ich oben genanntes Installationsprogramm gestartet, um Java neu zu installieren. Und, was glaubt ihr? Nein, falsch! Es kam wiederum die Option, das Yahoo Dingens abzuwählen, was ich auch tat. Nun erst recht neugierig geworden fand ich im TEMP Ordner unter anderen die Datei "java_install_sp.log" mit folgendem Inhalt:


    Obwohl ich vor der Installation in der Registry weder für Schlüssel noch Daten noch Werte irgendwelche Einträge bei der Suche mit "yahoo" gefunden hatte, gab es anscheinend dennoch mir verborgenen Hinweise darauf, die die Installationsroutine auch brav fand. Nach der Installation waren oben genannte Schlüssel wieder vorhanden. Wo genau nun SP4 (SP4 ->???-> Sponsor Nr.4 ->???-> Yahoo) vermerkt war um mir dessen Toolbar wieder anzubieten, ist mir zu mühseelig zu recherchieren; zumindest die übrigen LOG-Dateien der JRE-Installation gaben nichts erkennbares her.

    Fazit: ich bin in meiner Auffassung bestärkt, unbeaufsichtigte Aktualisierungen generell nicht zuzulassen.

  • Zitat von Global Associate

    Die u14 saß noch in c:/programme/mozilla/firefox /extensions und musste noch händisch gelöscht werden

    War hier auch so. Vielleicht haben die mal wieder den Speicherort intern verändert. Gelöscht und gut ist! :lol:

  • Zitat von pcinfarkt

    Java wird konservativ offline installiert [1].
    [1] http://java.sun.com/javase/downloads/index.jsp


    Interessant, da wir (Nighthawk56 und ich) von hier (1) den Download bezogen haben, drängt sich die Frage auf, ob es einen Unterschied zwischen einer von der englischen Seite und der deutschen Seite bezogenen Version gibt. Ich bin aber zu faul das zu kontrollieren.
    (1) http://java.com/de/download/manual.jsp

  • Meine Vermutung mit dem Nachladen erscheint mir immer noch die plausibelste, von pcinfarkt's letztem Satz zumindest unterstützt.

  • Zitat mit den Daten der Datei jre-6u15-windows-i586.exe von java.sun.com ergänzt

    Die Datei ist kleiner, früher signiert und von Yahoo weder in der Registry noch in den FF eine Spur.

  • Letzte Hinweise meinerseits dazu:

    • heruntergeladene Datei: jre-6u15-windows-i586-s.exe
      Herkunftsort: http://java.com/de/download/manual.jsp
      Größe: 16.824.096 Bytes
      Version: 1.6.0_15-b03
      Dateiversion: 6.0.150.3
      Signaturzeit: Samstag, 25. Juli 2009 15:44:27
      CRC32: 2b8c2487
      MD5: 962a6bff8ea3eb6e2f6450dda94098a8
      SHA-1: 8f44aeacff2099a1ada51efc6afa066b3391f93c


    • heruntergeladene Datei: jre-6u15-windows-i586.exe
      Herkunftsort: http://java.sun.com/javase/downloads/index.jsp (dort: JRE 6 Update 15)
      Größe: 16.668.448 Bytes
      Version: 1.6.0_15-b03
      Dateiversion: 6.0.150.3
      Signaturzeit: Samstag, 25. Juli 2009 15:43:56
      CRC32: 3a0cf77d
      MD5: 1011ff41b0e933e0cf1a1e57fcb5bf6b
      SHA-1: b85fbd6347b089f5f8dc3b8df6b12f183710a210


    Vorgehensweise wie in meinem Beitrag (Link) beschrieben. Abweichendes Ergebnis:

    • keine Abwahlmöglichkeit irgendeiner Toolbar (der ganze Dialog wird praktisch ausgelassen/ist nicht vorgesehen,
    • oben erwähnt Schlüssel in der Registry sind diesmal nicht wieder vorhanden

    Ende der Durchsage.

  • ... Wobei Roadys Aussagen nicht zwingend den Schluss zulassen, dass der Grund für das Phänomen ausschließlich auf meinem System zu suchen ist. Bei (nach meiner Einschätzung) gleicher Ausgangslage hat die Installationsroutine #2 nicht nach entsprechenden Informationen auf meinem Rechenknecht gesucht bzw. diese nicht berücksichtigt. Insofern war für MICH die Mühe sehrwohl nötig.
    Aber vielleicht hatte ich ja auch nur Langeweile :lol:

  • Zitat von NightHawk56

    - Aber vielleicht hatte ich ja auch nur Langeweile


    Das wird es gewesen sein! Bezogen auf deinen Knecht...
    Andere Knechte - andere vorbereitete Äcker... :)

    Trotzdem Klasse!

    PS. Wichtig ist eigentlich nur die Herausnahme des Pauschalisierens.

  • erm - Java - weiss jemand, warum das -s dranklebt?
    Ich hab auch noch Builds mit nem -p dran...

  • Also die -s ist eine "sponsor"-Installation - der Inhalt ist nachezu identisch.
    "nahezu" deshalb, weil der "deployment\cache" etwas abweicht, keine Ahnung, was is das ist.
    Das andere ist das hier


    In der Systemregistrierung wurde nur die Yahoo-Toolbar eingetragen, aber nichts installiert.

    Das Setup ohne -s gibt es hier:
    http://java.sun.com/javase/downloads/index.jsp

    Bei der -p Variante mus sich wieder raten, ist mir aber grad schnurz weil spät und eben gelöscht weil alt (build 12/13/14)

  • Hi,

    ich hoffe ich darf hier als absoluter Laie eine Frage stellen, die mir unter den Nägeln brennt und auf die ich bisher leider keine Antwort gefunden habe. Ich habe mein Java (SE 6) immer schon von hier geupdatet: http://java.com/de/download/wi…ost=java.com:80
    dort auf kostenloser Java-Download geklickt und die Datei jxpiinstall.exe runtergeladen und ausgeführt. Die Größe wird mir als 698 KB angezeigt.

    War das richtig? denn ihr wart anscheinend auf der gleichen Seite aber woanders unterwegs und habt entsprechend auch eine andere Installations-Datei...

    Bin für jeden Tipp dankbar!

    Ich bin ein dummer Fuchs und brauche Eure Hilfe ;)