ACHTUNG! Gefährliches Java Exploit

[urishima]

Es gibt ein gefährliches Exploit in der aktuellen Java Version. Egal ob euer System auf den neuesten Stand ist und welche Antivirensoftware ihr benutzt, das Exploit WIRD Schadcode auf euren Rechner einschleusen wenn ihr eine infizierte Seite besucht. Es ist zu erwarten dass in den nächsten Tagen viele Seiten infiziert werden.
Nutzt auf keinen fall den Internet Explorer (Java lässt sich da nicht richtig deaktivieren) und deaktiviert alle Java Plugins in euren anderen Browsern.

Pressemitteilung vom BSI:
https://www.bsi.bund.de/ContentBSI/Press...12013.html

[Snowbooons]

Habe mich schon gewundert warum immer werbung auf Seiten rechts unten kommt und ich oft auf irgendwelchen Seiten umgeleitet werde
Habe deswegen Java entfernt

[TheReal]

Danke für die Info. War in meinem Firefox auch schon als gefährlich markiert. Hätte es zwar sicher bald auch irgendwo anders gelesen, aber hier schaut man doch am meisten rein, was?

[Jandalf]

Direkt noscript etwas strenger eingestellt. Danke für den Hinweis.

[Kralle]

Danke dir für die Info. Bei mir wurde das schon Automatisch gesperrt, weshalb aber wusste ich bis jetzt nicht. Also dann erstmal auf deaktiviert stehen lassen.

[rdmlp]

Schon wieder ???!!!

Java fängt langsam an mich echt wegen den ganzen Sicherheitslücken anzukotzen.

Thanks für die Info!

[urishima]

(11.01.2013)Jandalf schrieb:  Direkt noscript etwas strenger eingestellt. Danke für den Hinweis.

Hilft nicht. Das BSI rät nicht ohne Grund mindestens zum Abschalten des Plugins.

[EpicZocker]

Auch auf Mac *hoff*

[Shippou]

Ich danke auch!

Hab die Meldung ganz übersehen.
Da ichs für nichts brauche im Browser lass ich das vielleicht in Zukunft ganz aus.
Also besser scheints wohl zu sein...

[fedprod]

Ich will ja nicht gross unken, aber Java 7 hatte schon kritische 0-Day exploits, also seit April!
Die )§$&"§&"§$ bei Oracle haben trotz vieler "Sicherheitspatches" es IMMER noch nicht hinbekommen Java 7 exploitfrei zu halten. Mit anderen Worten: Old News is old

[DwBrot]

ich kenn mich damit ja nicht aus von daher frag ich mal ganz dumm: Ich hab da ein "JAVA Platform SE7 U9 10.9.2.5"-Plug In. Ist das damit gemeint?

[fedprod]

Es ist die aktuellste Version gemeint: Java 7 U 10 bzw. alles ab erscheinen von Java 7
Ich bin mir grad nicht ganz sicher ob mit Update 10 nicht sogar neue Exploits hinzukamenwegen dem neuen Sicherheitssystem und sie deshalb erneut warnen. Aber Update 10 ist auch schon seit dem 12. November draussen, also zwei Monate und daher auch schon old News im Internet :\

[Elandulí]

Macht mal nicht so eine Panik! Es geht nur um die JRE, also kann sowieso nichts passieren solange ihr nicht wie blöde, jedesmal wenn die Meldung auftaucht, dass ihr Java zulassen sollt, auf JA drückt. Davor kann euch noch nichts passieren.

btw. haben wir aber fähige Behörden! Ich habe es das erste mal vor knapp einem Jahr benutzt, bei einer Präsentation über hacks und die haben das erst dieses Jahr rausgefunden und sind damit dann auch noch gleich zu Oracle gerannt? O.o
Die kennen den Fehler seit längerer Zeit, es ist nur schwer das zu verhindern!

[Shippou]

Das stimmt schon, aber wer das wie ich nicht braucht kanns in Zukunft auch ganz deaktivieren im Browser.
Und wer kann schon sagen was noch passieren wird, auch wenn man eben nicht auf JA klickt?

Negativ ist eben leider Java dadurch aufgefallen, da immer wieder halt was vorkommt.

[Elandulí]

Bevor man auf Ja drückt kann niemals, in keinem Fall etwas passieren.
...und ja Java fällt öfters deswegen auf, es ist aber auch die einzige Sprache, mit der es möglich ist komplette Programme via Internet zu nutzen. Es ist sehr mächtig aber deshalb auch Sicherheitstechnisch ein Problem.
Das ist aber z.B. bei PDF-Readern (unter anderem Adobe Reader) nicht anderst.
Außerdem wird es immer Sicherheitslücken geben.
Ich kenne eine Seite auf der kriegst du, auch wenn an dem Tag ein Security Patch rausgekommen ist, mit sicherheit einen Virus. Er fährt nur den Rechner runter und sagt dir dass du einen Virus hast aber da sieht man, dass JRE im Browser NIE sicher ist und es wahrscheinlich auch nie wird.
Es geht darum, ob ihr der Seite vertraut oder ob es eine Seite ala "Free (füge irgendetwas von begerde hier ein)" dann sollte man es sich doch zweimal überlegen

[Khel Thuzad]

(11.01.2013)urishima schrieb:  

(11.01.2013)Jandalf schrieb:  Direkt noscript etwas strenger eingestellt. Danke für den Hinweis.

Hilft nicht. Das BSI rät nicht ohne Grund mindestens zum Abschalten des Plugins.

Naja, NoScript blockt/verbietet Java (und fast alles andere auch) ja auch im ersten Moment, solange bis man die Seite manuell zulässt. Ergo das Gleiche wie deaktivieren. Oder hab´ ich da einen Denkfehler?

Elandulí schrieb:solange ihr nicht wie blöde, jedesmal wenn die Meldung auftaucht, dass ihr Java zulassen sollt, auf JA drückt.

Seit wann fragt denn zB. "Firefox" jedesmal nach, ob er Java zulassen soll? (<- wirklich als Frage gemeint)
Oder bezieht sich das auf zusätzliche Plug-Ins wie eben NoScript?

Ich bin, was das betrifft, bei weitem kein Experte und möchte keine gefährlichen Halbwahrheiten verbreiten.
Daher bin ich jedem verbunden, der einen aufklären kann!

Zu NoScript selber, wenn es jemand nicht kennen sollte (find´ ich nicht verkehrt):

Spoiler (Öffnen)

[Elandulí]

Bei der Sicherheitslücke geht es um die Java Runtime Environment oder eben kurz JRE und nicht um JavaScript.
JavaScript ist zum Darstellen von Dynamischen Elementen im Browser.
JRE ist zum Darstellen von Java Programmen im Browser (bekanntes Beispiel: Minecraft)

JavaScript ist weiterhin sicher und wird es immer bleiben. Es greift in keinster Weise auf deinen Computer zu, es tut nur etwas in deinem Browser.

JRE funktioniert wie ein normales Programm, es greift direkt auf deinen Computer zu und damit kann man, wenn man an den Sicherheitsvorherkehrungen in der JRE vorbeikommt, direkt Programme auf deinem Computer Speichern oder schon bestehende (im Normalfall Windows Dateien) verändern.

[urishima]

(12.01.2013)Elandulí schrieb:  Bevor man auf Ja drückt kann niemals, in keinem Fall etwas passieren.

Sowohl das BSI, als auch heise Security sind da anderer Meinung. Ich halte mich da an denjenigen der nachgewiesene Qualifikationen und Reputation hat.

Zitat:Die kennen den Fehler seit längerer Zeit, es ist nur schwer das zu verhindern!

Und du hast sicherlich auch interna vom BSI, Heise Security, h-online u.s.w. die diese Behauptung belegen? Genauso wie du den exploit (den man mittlerweile herunterladen kann, den link zum dl gibt es auf heise http://www.heise.de/security/meldung/Gef...80850.html ) schon genauestens anlysiert hast um deine Aussagen zu untermauern?

Und ich zitiere mal:

Zitat:Ein Malware-Forscher mit dem Pseudonym kafeine hat im Netz einen Exploit entdeckt, der eine bislang unbekannte Java-Schwachstelle ausnutzt. Die Sicherheitsexperten von AlienVault analysierten den Exploit daraufhin und bestätigen die Brisanz des Funds: Es gelang ihnen damit, Code in ein vollständig gepatches Windows-System mit Java 7 Update 10 einzuschleusen. Unklar ist derzeit noch, ob die Lücke auch in dem 6er Versionszweig klafft. Bei einem ersten Test von kafeine zündete der Exploit unter Java 6 nicht.

Dass Java alles andere als sicher ist steht völlig außer Frage, es geht hier aber um ein NEUES exploit, das sehr einfach anwendbar ist.

Zitat:Da die Lücke mit Hilfe der Exploit-Kits mit geringem Aufwand auszunutzen ist, muss man damit rechnen, dass die Zahl der Seiten, auf denen der Java-Exploit lauert, im Laufe der nächsten Tage explodiert. Es genügt bereits, eine verseuchte Webseite aufzurufen, um Opfer einer Malware-Infektion zu werden. Der Angriffscode kann dabei auch auf seriösen Webseiten lauern.

Hör also auf das ganze hier als Schmarrn abzutun.

[Hanutaman]

Ist java nicht immer das Update was kommt wenn man den Pc anmacht ?
Das klicke ich schon seit 2 Jahren immer weg

[Elandulí]

(12.01.2013)urishima schrieb:  

Spoiler (Öffnen)

(12.01.2013)Elandulí schrieb:  Bevor man auf Ja drückt kann niemals, in keinem Fall etwas passieren.

Sowohl das BSI, als auch heise Security sind da anderer Meinung. Ich halte mich da an denjenigen der nachgewiesene Qualifikationen und Reputation hat.

Zitat:Die kennen den Fehler seit längerer Zeit, es ist nur schwer das zu verhindern!

Und du hast sicherlich auch interna vom BSI, Heise Security, h-online u.s.w. die diese Behauptung belegen? Genauso wie du den exploit (den man mittlerweile herunterladen kann, den link zum dl gibt es auf heise http://www.heise.de/security/meldung/Gef...80850.html ) schon genauestens anlysiert hast um deine Aussagen zu untermauern?

Und ich zitiere mal:

Zitat:Ein Malware-Forscher mit dem Pseudonym kafeine hat im Netz einen Exploit entdeckt, der eine bislang unbekannte Java-Schwachstelle ausnutzt. Die Sicherheitsexperten von AlienVault analysierten den Exploit daraufhin und bestätigen die Brisanz des Funds: Es gelang ihnen damit, Code in ein vollständig gepatches Windows-System mit Java 7 Update 10 einzuschleusen. Unklar ist derzeit noch, ob die Lücke auch in dem 6er Versionszweig klafft. Bei einem ersten Test von kafeine zündete der Exploit unter Java 6 nicht.

Dass Java alles andere als sicher ist steht völlig außer Frage, es geht hier aber um ein NEUES exploit, das sehr einfach anwendbar ist.

Zitat:Da die Lücke mit Hilfe der Exploit-Kits mit geringem Aufwand auszunutzen ist, muss man damit rechnen, dass die Zahl der Seiten, auf denen der Java-Exploit lauert, im Laufe der nächsten Tage explodiert. Es genügt bereits, eine verseuchte Webseite aufzurufen, um Opfer einer Malware-Infektion zu werden. Der Angriffscode kann dabei auch auf seriösen Webseiten lauern.

Hör also auf das ganze hier als Schmarrn abzutun.