WCM Forum - Wieder kritische Lücke in aktueller Java-Version 7 Update 10

WCM Forum (http://www.wcm.at/forum/index.php)

- IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)

- - Wieder kritische Lücke in aktueller Java-Version 7 Update 10 (http://www.wcm.at/forum/showthread.php?t=245729)

Beachtlich!
Die Schlussfolgerung vom Herrn Krebs wird oracle aber kalt lassen - hunderte Millionen nix zahlender Kunden weniger täten mich auch nicht interessieren- die können dann eben hunderte Millionen Webseiten nicht mehr öffnen.
Das ist halt "die krux" mit de-facto Standards!

Dann schreib doch Du ein Mail an Oracle, von einem Adeligen wird´s sicher eher zur Kenntnis genommen. :utoh:

Zitat:

Mindestens zwei Sicherheitslücken in aktueller Java-Version

Java SE 7 Update 11 ist anfällig für mindestens zwei Sicherheitslücken. Angreifer können darüber beliebigen Schadcode ausführen und ein fremdes System unter ihre Kontrolle bringen. Einen Patch gibt es bislang nicht.

Das Anfang der Woche von Oracle veröffentlichte Java SE 7 Update 11 hat weiterhin mindestens zwei Sicherheitslücken. Mit dem Update 11 sollte eine Zero-Day-Lücke geschlossen werden, die einige Tage zuvor bekanntwurde. Der Sicherheitsexperte Adam Gowdiak berichtet nun von zwei Sicherheitslöchern in der aktuellen Java-Version. Bereits seit Ende vergangener Woche ist neuer Exploit-Code für die aktuelle Java-Version im Umlauf. Derzeit ist nicht bekannt, ob der in Umlauf befindliche Exploit-Code eine dritte Sicherheitslücke oder aber die beiden von Gowdiak entdeckten Fehler ausnutzt.
Java-Applet kann Sandbox verlassen

Mit den von Gowdiak bemerkten Sicherheitslöchern in Java SE 7 Update 11 kann ein Java-Applet die Sandbox komplett verlassen und so außerhalb davon beliebigen Programmcode ausführen. Mit dem Update 11 wurde eine neue Sicherheitsfunktion in Java SE 7 integriert. Damit werden unsignierte oder selbst signierte Applets nur noch ausgeführt, wenn der Nutzer dem zuvor zugestimmt hat, erklärte Gowdiak Ars Technica. Das gelte auch für die von ihm gefundenen Sicherheitslücken, so dass eine automatische Ausführung von Schadcode nicht möglich sei.

Allerdings dürfte es für Angreifer ein Leichtes sein, Opfer mittels Social Engineering dazu zu bewegen, den Sicherheitsdialog zu bestätigen und den Schadcode damit auf den Rechner zu lassen, meint Gowdiak. Zudem könnte die Sicherheitsabfrage umgangen werden, indem Angreifer gültige Zertifikate stehlen, so dass das Applet als offiziell signiert gilt. Bisher gibt es von Oracle kein Java-Update, das diese Fehler beseitigt. Ob Oracle wieder einen Patch in den nächsten Tagen veröffentlichen wird, ist nicht bekannt. Das kommende reguläre Java-Update ist für den 19. Februar 2013 angesetzt.

Kürzlich hatten diverse staatliche Institutionen vor dem Einsatz von Java gewarnt und zur Deinstallation geraten, dazu zählte auch das Bundesamt für Sicherheit in der Informationstechnik.

Ganz ohne Java geht es in der Onlinewelt nicht überall. Einige Webseiten setzen Java zwingend voraus, so dass eine Deinstallation von Java keine Lösung ist, weil die betreffenden Webseiten dann nicht mehr verwendet werden können. Hier kann es helfen, nur die Java-Webseiten mit einem separaten Browser zu besuchen und nur in diesem die Ausführung von Java zu erlauben. In dem regulären Browser kann Java dann deaktiviert werden, so dass ein Angriff durch Java-Sicherheitslücken unwahrscheinlicher wird. Wer hingegen keine Webseiten besucht, die Java benötigen, kann es ganz deinstallieren.

Quelle: http://www.golem.de/news/security-mi...301-97019.html

Ein wahrlich gutes Update. :utoh:

Loch auf, Loch zu

In dieser ganzen Geschichte, verstehe ich eines aber nicht: es gibt

1) Java-Umgebung (JRE)
2) Java-PlugIn (Firefox)
3) Java-Script

Wie hängen die drei eigentlich zusammen?

Das Log-In der österreichischen Sparkassen und der EasyBank braucht umbedingt Java Script, aber anscheinend nicht unbedingt die Java-Umgebung und einen aktivierten Java-PlugIn in Firefox (hatte testweise Java deinstalliert);
die Bürgerkarten-Software Mocca (LogIn mit Signature-Karte über ecard) braucht die Java-Umgebung, sonst startet überhaupt nicht; die a.sign-Software (a-Trust erstellt die Zertifikate für die ecard) braucht Java überhaupt nicht, die maximale PIN-Länge ist aber auf 6 Zeichen beschränkt (Mocca: 12).

Wie kann man dann Online-Banking ohne Java vernünftig betreiben?

MfG, Thiersee

Die Unterschiede kann ich Dir zwar nicht erklären, bei funzt der Zugriff auf die Sparkassenseite in Netbanking ohne Deployment Toolkit, Java Platform und Console mit FF.

Zitat:

Zitat von Christoph (Beitrag 2483061)

Die Unterschiede kann ich Dir zwar nicht erklären, bei funzt der Zugriff auf die Sparkassenseite in Netbanking ohne Deployment Toolkit, Java Platform und Console mit FF.

Daß es funktioniert, weiß ich (ist vielleicht aus meinem Beitrag nicht herausgekommen).

Meine Frage zielte vielmehr auf folgendem Umstand drauf:

Wenn JAVA (und PlugIN) deinstalliert ist, wie kann JavaScript vorhanden und aktiv sein?

MfG, Thiersee

Zitat:

Zitat von Christoph (Beitrag 2483065)

Vielleicht hilft Dir das weiter:
http://www.itrig.de/index.php?/archi...avaScript.html
http://de.wikipedia.org/wiki/Java_Plug-in

Doch, es hilft mir!
Jetzt weiß ich, daß Java und Java-Script zwei getrennte Sachen sind.

An der Sache, daß Java für die Bürgerkarte-Umgebung MOCCA notwendig ist, steht natürlich auf einem anderen Blatt.

Übrigens, MOCCA wird vom Bundeskanzleramt empfohlen...

MfG, Thiersee

Zitat:

Zitat von Thiersee (Beitrag 2483068)

Übrigens, MOCCA wird vom Bundeskanzleramt empfohlen...

So wie bis gestern auch das Berufsheer!:D
Scheint beides kompatibel zu sein...:rolleyes:

Zitat:

Zitat von Baron (Beitrag 2483090)

So wie bis gestern auch das Berufsheer!:D
Scheint beides kompatibel zu sein...:rolleyes:

Des war ausnahmsweise sogar einmal lustig. :D