Bundesamt warnt vor JAVA

[dieter]

http://www.netzwelt.de/news/94893-kr...arnt-java.html

[Kladower]

Das geht doch schon seit August letzten Jahres.
http://www.heise.de/security/meldung...e-1677249.html

[JohnB]

Nicht 'mal das BF funzt ohne Java richtig und selbst das BSI
will für seine Webseite JAVA aktiviert sehen.

Da ist der BSI-Tipp, JAVA zu deinstallieren, richtig topp.

[DirtyHarriett]

nimm nen virtuellen PC oder ne VMWare, installiere da ein Lunox oder sonstwas mit nem Browser und Java rein und benutze nur den fürs Internet. Wennste dir nen Wurm einfängst, wirfste die Maschine einfach weg und setzt sie neu auf.

[Visara]

Zitat:

Zitat von JohnB

Nicht 'mal das BF funzt ohne Java richtig und selbst das BSI
will für seine Webseite JAVA aktiviert sehen.

Da ist der BSI-Tipp, JAVA zu deinstallieren, richtig topp.

Ist ja komisch. Bei mir funktionieren sowohl das BF als auch die Seiten des BSI; jedenfalls kann ich nicht erkennen, dass etwas nicht so ist wie es sein sollte. Was genau läuft denn ohne Java bei Dir nicht?

Gruß Michael

[Bandit1973]

Hmmm... mein Avira hat mir heute ganz stolz erklärt, dass meine Java Sicherheitslücke geschlossen wurde !?!?!?!

[Visara]

Zitat:

Zitat von JohnB

Nicht 'mal das BF funzt ohne Java richtig und selbst das BSI
will für seine Webseite JAVA aktiviert sehen.

Da ist der BSI-Tipp, JAVA zu deinstallieren, richtig topp.

Verwechselst Du vielleicht Java mit Javascript?

[DirtyHarriett]

Java ist eine der Hauptsicherheitslücken auf unseren PCs - wie Acrobat Reader, Flash, und Internet Explorer. Ich hab Java auf kaum einem Rechner installiert, einfach, weil es die Java-Lücken waren, über die mir mein Mann 16 Banking-Trojaner auf den Rechner geladen hat. Die hab ich glücklicherweise gefunden, aber ...

Eine Java-Deinstallation ist das vernünftigste, was man machen kann. Wird Java auf einem Server benötigt: Enhanced Browser Security anschalten, Internet-Zugriff weitestgehend abschalten (es lebe die Firewall), ständig neueste Patches installieren und Java wenn irgendwie möglich unter minimalen Privilegien (auf keinen Fall als Admin oder root) laufen lassen. Java Plugins im Browser grundsätzlich abschalten, Virus Software aktuell halten.

[JohnB]

Zitat:

Zitat von DirtyHarriett

Java ist eine der Hauptsicherheitslücken auf unseren PCs - wie Acrobat Reader, Flash, und Internet Explorer. Ich hab Java auf kaum einem Rechner installiert, einfach, weil es die Java-Lücken waren, über die mir mein Mann 16 Banking-Trojaner auf den Rechner geladen hat. Die hab ich glücklicherweise gefunden, aber ...

Eine Java-Deinstallation ist das vernünftigste, was man machen kann. Wird Java auf einem Server benötigt: Enhanced Browser Security anschalten, Internet-Zugriff weitestgehend abschalten (es lebe die Firewall), ständig neueste Patches installieren und Java wenn irgendwie möglich unter minimalen Privilegien (auf keinen Fall als Admin oder root) laufen lassen. Java Plugins im Browser grundsätzlich abschalten, Virus Software aktuell halten.

Hilft ein Java-Script-Blocker (z.B. NoScript für FireFox)?

[V_8]

Auf was für Websites sich Ihr Mann wohl herumgetrieben hat um 16 Banking-Trojaner zu laden [sic] und wie haben Sie die gefunden? Lupe? Ne Menge gefährliches Halbwissen in diesem Beitrag. Eventuell wäre es das beste das "Internet zu deinstallieren" und nein, damit meine ich nicht die Internet Explorer Verknüpfung in den Papierkorb ziehen.

[DirtyHarriett]

Zitat:

Zitat von JohnB

Hilft ein Java-Script-Blocker (z.B. NoScript für FireFox)?

Javascript ist nicht Java

[DirtyHarriett]

Zitat:

Zitat von V_8

Auf was für Websites sich Ihr Mann wohl herumgetrieben hat um 16 Banking-Trojaner zu laden [sic] und wie haben Sie die gefunden? Lupe? Ne Menge gefährliches Halbwissen in diesem Beitrag. Eventuell wäre es das beste das "Internet zu deinstallieren" und nein, damit meine ich nicht die Internet Explorer Verknüpfung in den Papierkorb ziehen.

Die Websites sind mir relativ egal. Gefunden wurden die mit Malwarebytes, Eset online Scanner, etc. Wobei der Rechner danach neu installiert wurde. Einfallstor war die vorinstallierte Java-Version aus der IBM Customer Experience.

Es ist übrigens sehr hilfreich, andere erst mal als Trottel darzustellen, wenn man selbst zum Thema nix beizutragen hat.

[intermezzo]

Irgeneine Lücke gibt es doch immer irgendwo
mal ist es Adobe, mal ein Mediaplayer, mal ....

Für mich versuche ich einfach umsichtig, wenn nicht sogar vorsichtig mit unbekannten Sites umzugehen.

Eine gute Möglichkeit relativ sicher zu surfen, ist natürlich auch eine VM.


Alternativlösung:
Egal, ob mit oder ohne Java..
surfen, bis es nicht mehr weitergeht
http://www.onlinewahn.de/ende.htm

Allen einen schönen Sonntag
Michael

[Warmduscher]

Meldung Heise.de von 13.01.2013 17:47

Oracle kündigt Patch für 0-Day-Lücke in Java an

Wie verschiedene US-Medien berichten, hat Oracle angekündigt, kurzfristig einen Patch für die vor wenigen Tagen entdeckte Zero-Day-Lücke in Java bereitzustellen. Der Fehler hatte unter anderem das deutsche BSI und das US-Heimatschutzministerium zu Warnungen veranlasst. Mozilla und Apple deaktivierten das Java-Plug-in in ihren Browsern. Betroffen ist nur die aktuelle Version 7 von Java.

Unterdessen hat der polnische Sicherheitsexperte Adam Gowdiak Oracle auf der Bugtraq-Mailingliste vorgeworfen, Sicherheitsprobleme nicht gründlich genug zu untersuchen. Die jetzige Zero-Day-Lücke ermöglicht Anwendungen den Zugriff auf privilegierte Klassen unter Umgehung des Java-Security-Managers. Dabei werde ein Verfahren verwendet, so Gowdiak, über das sein Unternehmen Security Explorations Oracle bereits im August 2012 informiert habe. Der Patch vom Oktober habe jedoch nur einen Teil des Bugs mit dem Kürzel "Issue 32" beseitigt.

Denn die von ihm "Issue 50" getaufte (PDF-Dokument) Lücke wollte Oracle erst im Februar 2013 mit dem nächsten regulären Java-Patchday schließen. Im Zusammenspiel mit "Issue 32" und dem unvollständigen Patch habe sich die Zero-Day-Lücke geöffnet. Gowdiak will bereits eine Oktober 2012 eine Korrektur für Issue 50 an Oracle geschickt haben, die lediglich 25 Zeichen groß war.

Auch bei anderen bekannten Lücken in seiner Software hat es Oracle nicht übermäßig eilig. So will sie den Fehler im TNS-Listener, der das Kapern von Datenbankverbindungen ermöglicht, erst mit der Version 12 ihrer Datenbank beheben. Ein Erscheinungstermin dafür ist noch nicht bekannt.

(Autor: Christian Kirsch)

[dieter]

http://www.netzwelt.de/news/94899-ja...itsluecke.html

Oracle hat ein Update veröffentlicht, das die in der vergangenen Woche bekanntgewordene Java-Sicherheitslücke stopft. Die Notfall-Aktualisierung steht ab sofort zum Download bereit. Nutzern von Java wird dringend geraten, auf die neue Version von Java umzusteigen.

[Warmduscher]

Hmm, "Notfall-Aktualisierung" hört sich an wie ein hastig unter extremen Druck zusammengebasteltes Update. Sowas könnte wieder besonders fehlerbehaftet sein und andere Probleme nach sich ziehen.

Andererseits wird die "Notfall-Aktualisierung" wie folgt beschrieben:


Aktuelle Neuerungen
■Version 7 Update 11 schließt eine kritische Sicherheitslücke
■Verbesserte Leistung
■Verbesserte Sicherheit
■Bessere Unterstützung von Multicore-Betriebssystemen

Bin jetzt auch unschlüssig ob ich sofort die "Notfall-Aktualisierung" installieren oder besser noch ein paar Tage abwarten soll. Wegen Viren etc. habe ich weniger Sorgen, da ich eine relativ gute Sicherheitssoftware habe.

W

[dieter]

ich zitiere:

Zitat:

Nach der Aktualisierung ist das Sicherheits-Level von Java nun standardmäßig auf den Wert "hoch" eingestellt. Dies soll dafür sorgen, dass unsignierte Java-Web-Applikation nicht mehr ohne die Zustimmung des Nutzers ausgeführt werden. Mit der Maßnahme will Oracle zudem künftige Sicherheitsrisiken minimieren.

... das einzige was ich festgestellt habe, du findest Java nicht mehr in der Systemsteuerung !

[Warmduscher]

Gerade bei mehreren Internetportalen gelesen:

Update nicht ausreichend - Kritische Java-Sicherheitslücke besteht weiter

Es wurde demnach nur eine von zwei Sicherheitslücken geschlossen...

W