Schwere Sicherheitslücke in Java 7 (BSI rät, Plug-In zu deaktivieren)

[Niza]

Schwere Sicherheitslücke in Java 7 (BSI rät, Plug-In zu deaktivieren)

Hi Leute

Es wurde eine schwere Sicherheitslücke in Java 7 entdeckt.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) rät das Plugin zu deaktivieren.

Betroffen sind bis jetzt alle 7er Versionen von Java incl. Update 6.
Danke an TempestX1



Ich übernehme das mal aus der Quelle:
"In der aktuellen Java-Version 7 ist eine schwere Sicherheitslücke entdeckt worden. Deshalb sollte das Java-Plug-in in den Einstellungen des Browsers deaktiviert werden, wenn es nicht benötigt wird, rät das Bundesamt für Sicherheit in der Informationstechnik .

Wer das Plug-in nicht deaktiviert, läuft Gefahr, dass beim Besuch manipulierter Webseiten Angreifer Schadsoftware auf Windows-Rechner schleusen.
Die Schwachstelle werde bereits gezielt für Angriffe ausgenutzt.

Wer Java ohnehin nicht benötigt, sollte die Laufzeitumgebung am besten ganz deinstallieren.

Wann die Lücke gestopft wird, ist noch nicht bekannt."


Hier mal ein paar Infos wie man Java deaktiviert:

Hier Mozilla:
So deaktievieren sie das Java-Web-Plug-In in Mozilla Firefox
Hier Google Chrome:
So deaktivieren sie das Java-Web-Plug-In in Google Chrome
Hier Safari :
So deaktivieren Sie das Java-Web-Plug-In in Safari
Hier Opera:
Opera's Settings File Explained
Beim Internet Explorer am besten Java deinstallieren.
Zitat von BSI:
"Wer den IE einsetzt, sollte Java daher besser vollständig über Systemsteuerung/Software deinstallieren"

Danke auch an TempestX1

Meine Meinung :
Jetzt lässt sich natürlich darüber spekulieren wie schwer die Sicherheitslücke wirklich ist
Meiner Meinung nach muss man sich, solange man keine falschen Seiten besucht, sowieso keine Sorgen machen.

Quellen :
Bundesamt rät Plug-in zu deaktivieren: Java 7 mit schwerer Sicherheitslücke
Warnung vor kritischer Java-Lücke | heise online
BSI warnt vor hochkritischer Java-Lücke | heise online

UPDATE vom 31.08.2012

Jave hat nun innerhelp von 2 bis 3 Tagen mit einen Notfall Update also Update 7 die Kritische Sicherheitslücke geschlossen.

Java 7 Update 7: Oracle schließt kritische Java-Lücke - Golem.de

Oracle reagiert mit Notfall-Update auf Java-Schwachstelle | heise online

Also sollte das Update 7 unbedingt so schnell wie möglich installiert werden.

Danke an Kredar

Das ist meine aller Erste News.

Anregungen und Antworten sind Willkommen

Mfg:
Niza

 

[DerBratmaxe]

AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)

Java ist für 2 Sachen bekannt ...

1. Stürzt es nur ab und
2. Ist es das größte derzeitige Sicherheitsrisiko

 

[kühlprofi]

AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)

Java ist für 2. Sachen bekannt ...

1. Stürzt es nur ab und
2. Ist es das größte derzeitige Sicherheitsrisiko

Was stürzt ab die Java Runtime oder die schlecht programmierte Java-Anwendung?
Ausserdem ist es dafür bekannt Plattformunabhängig zu sein, weshalb es ja auch oft im Einsatz ist.
Hast du eine Studie gemacht, die erklärt das Java das grösste Sicherheitsrisiko ist?

Die Meldungen über schwere Sicherheitslücken häufen sich seit Jahren und das betrifft ganz bestimmt nicht immer Java.
Wie man zwischen einer Sicerheitslücke und einer schweren Sicherheitslücke unterscheidet, würde mich auch interssieren - oder wird das nur so hochgehypt

https://www.bsi.bund.de/DE/Themen/w...SicherheitvonJava/sicherheitvonjava_node.html
Sicherheit der Java Plattform

Sicherheit war seit der ersten Stunde der Java-Technologie eines der zentralen Entwurfsziele. Dies bietet den grundlegenden Vorteil, dass Sicherheit ein immanenter Bestandteil der Java-Architektur ist, statt nachträglich zur eigentlichen Funktionalität hinzugefügt zu werden.
Im Vergleich zu anderen Technologien bietet die Java-Plattform eine Reihe wichtiger Sicherheitsfeatures wie z. B.:

• Sicheres Speichermanagement – insbesondere wird die Gefahr von Buffer Overflows weitgehend ausgeschlossen
• Typsicherheit
• Bytecode Verification: Java-Bytecode wird während des Übersetzens in Maschinencode ausgiebigen sicherheitsrelevanten Prüfungen unterzogen
• Sandbox-Prinzip: Anwendungen können in einer sicheren Ablaufumgebung betrieben werden, um das lokale System vor bösartigem Programmcode zu schützen
• Signatur von Programmcode zur Gewährleistung der Herkunft und Integrität von Applikationen
• Java Cryptography Extension (JCE): Programmierschnittstelle für kryptographische Algorithmen
• Java Authentication and Authorization Service (JAAS): Programmierschnittstelle für Identitätsbasierte Sicherheitsmechanismen
• Java Secure Socket Extension: Programmierschnittstelle für die sichere Kommunikation über das SSL-Protokoll
• Einfache Integration von PKIs (LDAP, CRLs, PKCS#11, uvm.)
• viele weitere sicherheitsspezifische APIs

 

[Kondar]

AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)

Zitat :
Meiner meinung nach muss man sich solange man keine falschen Seiten besucht sowieso keine Sorgen machen.

Ist die PCG-H eine falsche Seite oder nur die von Steam/Sony?
JEDE Seite kann gehackt werden oder die Werbepartner die man ggf. auf der rechten Seite
sieht.

Denoch danke für die Info zu Java.

 

[X-CosmicBlue]

AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)

Java ist für 2. Sachen bekannt ...

1. Stürzt es nur ab und
2. Ist es das größte derzeitige Sicherheitsrisiko

Java ist für zwei (nicht zweitens) Sachen bekannt:

1. Funktionieren viele Webseiten auch ohne, zumindest das wichtigste auf diesen
2. (hier wirklich mit Punkt, weil zweitens) Ist Java plattformunabhängig und damit die einzige Möglichkeit Anwendungen über Betriebssystemgrenzen hinweg zu nutzen
3. Ist meiner Meinung nach Flash immernoch das größte Sicherheitsrisiko, denn jede Homepage muß ja animierte Elemente als Hingucker aufweisen, sei es für oder wegen Werbung, blingbling hier, blingbling da...schrecklich.

P.S.: Ja, ich kann zählen

 

[Spiczek]

AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)

Von welcher Version 7 sprechen wir hier überhaupt? Ich höre immer nur aktuell...

Vllt. sollte dann auch das Kind beim Namen genannt werden und die Updateversion dazu geschrieben werden. Geht es jetzt um Update 6 oder wie?

 

[TempestX1]

AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)

Von welcher Version 7 sprechen wir hier überhaupt? Ich höre immer nur aktuell...

Bis jetzt sind alle 7er betroffen.

Warnung vor kritischer Java-Lücke | heise online

Daher ist noch völlig unklar, wann die Schwachstelle geschlossen wird. Das nächste reguläre Update würde erst am 16. Oktober erscheinen.

Allerdings sehe ich auch Macromedia Flash als die größte Sicherheitslücke im PC Bereich an und hoffe das Teil wird so schnell wie möglich begraben.

 

[Niza]

AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)

Bis jetzt sind alle 7er betroffen.

Warnung vor kritischer Java-Lücke | heise online

Ich habe das mit übernommen
Danke dir

EDIT:
Ich finde diese Zitat so gut von heise:
"..Generell ist es eine Überlegung Wert, das Browser-Plug-in von Java in den Ruhestand zu schicken.
Schließlich ist die Wahrscheinlichkeit gering, noch auf eine Webseite zu stoßen, die Java für legitime Zwecke einsetzt...."

Mfg:
Niza

 

[Bensta]

AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)

Nur Windows ? alles klar

 

[Nuallan]

AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)

Die Meldungen über schwere Sicherheitslücken häufen sich seit Jahren und das betrifft ganz bestimmt nicht immer Java.

Nö, aber meistens.

 

[Homerclon]

AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)

Bei mir war es eh schon deaktiviert.
Automatisch von Firefox, mit dem Kommentar: "Java (TM) Plattform SE7 U# ist bekannt als Ursache für Sicherheits- und Stabilitätsprobleme."

 

[Spiczek]

AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)

Ich muss da jetzt nochmal nachhaken.

Ich nutze den Opera. Mit F12 kann ich ja das Javascript deaktivieren. Ist das jetzt das, was im Brwoser diese Lücke macht? Sorry für mein dummes Gefrage, aber so richtig haut die Bemerkung mit "kaum noch Javaunterstützung von Webseiten" nicht hin. Wenn ich das nämlich abschalte, habe ich auf vielen Seiten Probleme. Angefangen bei google, welches dann die Autovervollständigung nicht mehr macht. Und gerade über ein anderes Thema zu zattoo gesurft, dort wird mit deaktiviertem Javascript auch kaum was angezeigt.

Eine Aufklärung für DAUs wäre schön. Habe mich mit dem Thema JAVA nie so richtig beschäftigt. Es war halt immer da.

Edit: Seltsam. Ich habe Zattoo gerade mal mit Chrome angesurft. Obwohl dort ebenfalls Java deaktiviert ist, zeigt der alles an. Kann mir das auch nochmal jemand erklären warum das so ist?

 

[razzor1984]

AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)

Gibt ja mehrer formen wie man sich gegen, Zerodays schützn kann oder im worst case recht fudamentale bugs. Dazu haben uns die Chipentwickler das V-Bit gegeben Für altägliches kann man ja ein Vmar rennen lassn, geht man noch ein stück weiter setzt man einen Server auf, in diesen werkelt wiederum eine Virtualmachine, zur Absicherung ist auf dem Server auch noch ein IDS+ Virenscanner aktiv

@Spiczek.

Java ist nicht vorrangig von nöten wenn man webpage X ansurft. Die geschichte mit Zattoo, vielleicht ist die page state of the art und schon auf HTML5 ? Da ensteidet der Browser ^^
(HTML5 = nachfolger von Flash, kann aber um einiges mehr )

 

[TempestX1]

AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)

Ich muss da jetzt nochmal nachhaken.

Ich nutze den Opera. Mit F12 kann ich ja das Javascript deaktivieren. Ist das jetzt das, was im Brwoser diese Lücke macht?

Javascript ist nicht Java.

Javascript ist was komplett anderes und hat mit Java nichts zu tun (außer das Java in dem Namen vorkommt). Javascript kannst du ohne Probleme an lassen. Da passiert nix.

Hier ein paar Infos wie man Java deaktiviert
http://www.heise.de/newsticker/meldung/BSI-warnt-vor-hochkritischer-Java-Luecke-1677249.html

 

[Niza]

AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)

"..Die Java-Sicherheitslücke wird in mehreren europäischen Ländern, darunter auch in Deutschland, mithilfe von kompromittierten Werbebannern, die auch auf seriösen Webseiten geschaltet sein können, aktiv zur Infektion von Rechnern ausgenutzt..."

https://www.bsi.bund.de/ContentBSI/...nid=C0CA81C89D5D2915A13415728F903B02.2_cid294

Na Super.
Also auch seriöse Internet Seiten können betroffen sein weil es in den Werbebannern sein kann

Also am besten Java deaktivieren wenn mans nicht unbedingt braucht.

..
Hier ein paar Infos wie man Java deaktiviert
BSI warnt vor hochkritischer Java-Lücke | heise online

Habe ich auch übernommen und muss mich wieder Bedanken

Mfg:
Niza

 

[Huax]

AW: Schwere Sicherheitslücke in Jave 7 (BSI rät Plug In zu deaktivieren)

Ich werd einfach mal auf mein Glück vertrauen und es anlassen.

 

[Spiczek]

AW: Schwere Sicherheitslücke in Jave 7 (BSI rät Plug In zu deaktivieren)

Ich bedanke mich ebenfalls für die Infos.

 

[Spinal]

AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)

Ich muss da jetzt nochmal nachhaken.

Ich nutze den Opera. Mit F12 kann ich ja das Javascript deaktivieren. Ist das jetzt das, was im Brwoser diese Lücke macht?

Wie schon geschrieben wurde, ist das nicht dasselbe. JavaScript wird sehr viel verwendet, fast auf jeder dynamischen Websites (zb. die Autovervollständigung).
Java wird auf der Clientseite eigentlich kaum eingesetzt. Java Applets, welche das brauchten, gab es früher öfter mal.

bye
Spinal

 

[Kredar]

AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)

Und Update 7 der Java Version 7 schliesst diese Lücke, das heute erschienen ist.

Quelle 1

Quelle 2

mfg

 

[Niza]

AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)

Ist doch mal schön das sie so schnell reagiert haben
Danke für den Beitrag

Mfg
Niza