ACHTUNG! Gefährliches Java Exploit

[TranceSwitch]

Falls es schon erwähnt wurde, tut mir leid. Also windows macht ein Update und hat sich automatisch neugestartet ohne den Benutzer zu warnen. Und man sollte in der Systemsteuerung -> Programme Deinstallieren ALLE JAVA Versionen löschen und dann kann man sich JAVA 7 Update 11 installieren

[kommo1]

Ein Glück, dass ich noch Java 6 drauf hab.... Himmel ist es lang her, dass ich an diesem Rechner gesessen habe.

[urishima]

Sieht so aus als wäre das US-CERT anderer meinung als das BSI.

Zitat:Das US-CERT rät weiterhin vom Einsatz von Oracles Java ab – wer Java nicht braucht, sollte es auch nach dem letzten Update deaktivieren oder deinstallieren. Das CERT stützt seine Vorsicht auf Erkenntnisse von Sicherheitsforschern von Immunity. Demnach soll die gefährliche Lücke, die das Einschleusen von Code über kompromittierte Webseiten ermöglicht, mit dem Patch gar nicht geschlossen worden sein. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt hingegen Entwarnung. Mit Einspielen des Updates "können auch die Browser-Plugins wieder aktiviert und genutzt werden".

Sein neu angefachtes Misstrauen drückt das US-CERT mit einem Update in seiner Warnung vor den Java-Sicherheitslücken aus. Mit der weiteren Deaktivierung von Java könne man die Folgen abschwächen, die drohen, "wenn in Zukunft andere Java-Sicherheitslücken gefunden werden."

Zudem hat Immunity Oracles Update unter die Lupe genommen und die Ergebnisse in einem Blogeintrag veröffentlicht. Die Bilanz: Oracle hat mit dem Update nur eine der beiden Lücken gestopft. Finden Kriminelle eine neue Zero-Day-Lücke als Einstiegstor, wird die Lücke wieder ausnutzbar. Von den Kriminellen genutzte Exploit-Tools müssten dann nur noch angepasst werden und wären schnell wieder im Einsatz. Die Sicherheitsforscher weisen deshalb darauf hin, dass es gerade heute wichtig ist "jedem einzelnen Bug besondere Aufmerksamkeit zu schenken."

Was zukünftige Angriffe seit dem Update allerdings erschwert, ist die von Oracle vorgenommene Veränderung der Sicherheitseinstellungen für Applets – dadurch wurde das Vertrauen gegenüber unsignierten Applets herabgesetzt; Nutzer werden gewarnt. Exploits sollten diese Signatur nur schwerlich erhalten.

Quelle:
http://www.heise.de/newsticker/meldung/U...84782.html

Bin mir nicht ganz sicher was ich jetzt davon halten soll.

[Leon]

(16.01.2013)urishima schrieb:  Bin mir nicht ganz sicher was ich jetzt davon halten soll.

Letztlich ist es weiterhin so, dass es Lücken gibt, diese aber aktuell (noch?) kein Risiko darstellen. Z.B. beim Flashplayer, oder vielen Browsern ist das nicht wirklich anders.
Da Java-Applets mittlerweile kaum noch verwendet werden, kann man, wenn man paranoid wie ich ist, das Plugin deaktivieren und verwendet es nur, wenn man es wirklich braucht. Alternativ verwendet man z.B. NoScript.

[TranceSwitch]

(16.01.2013)kommo1 schrieb:  Ein Glück, dass ich noch Java 6 drauf hab.... Himmel ist es lang her, dass ich an diesem Rechner gesessen habe.

Es wird empfohlen java 4-7 zu löschen

[Shippou]

Und weiter gehts: Neues Exploit für Java - WinFuture.de

Wer es nicht braucht im Browser:
Haken raus und Ruhe ist.

Java QuickStarter und Update Sheduler* können auch nach Wunsch im Autostart / den Diensten deaktiviert werden.

*Auf eigene Gefahr hin, da keine Updates angezeigt werden!

[Aica]

Womit ist dann Ruhe? Mit dem "Loch" ? Also der Gefahr?

[Leon]

Im Prinzip ja. Das ist die Overkill-Methode, die sämtliche Java-Funktionen bzw. Applets in allen Browsern deaktiviert (Ähnlich wie wenn man das Plugin vom Browser aus ausschaltet, nur dass diese Einstellung nicht für einen bestimmten, sondern für alle Browser gilt.)
Damit werden gar keine Java-Applets mehr im Browser gestartet und somit wäre man von (ich sag mal zur Sicherheit mal) den meisten Java-Exploits nicht mehr gefährdet