unixmin
Goto Top

Hat Java immer noch kritische Sicherheitslücken?

Laut heise.de (http://www.heise.de/security/dienste/Update-Check-bis-auf-weiteres-stil ..) hat Java kritische Sicherheitslücke.
Aus diesem Grund wurde vermutlich online update-check von heise.de deaktiviert.

Ohne Java funktionieren doch viele online Services nicht.
Ich kann z.B. auf Java nicht verzichten.

Es erscheinen doch ständig neue Java Updates, sind diese Sicherheitsprobleme immer noch nicht gelöst?


Update: Die Frage wurde eindeutig beantwortet. Vielen Dank an allen!
Fazit (auf Basis von Kommentaren): Ja, Java ist im Moment nicht die sicherste Software. Man sollte Java nur selektiv einschalten oder den Zugriff beschränken.

Content-ID: 226355

Url: https://administrator.de/contentid/226355

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

Pjordorf
Pjordorf 11.01.2014 um 02:42:23 Uhr
Goto Top
Hallo,

Zitat von @unixmin:
Es erscheinen doch ständig neue Java Updates, sind diese Sicherheitsprobleme immer noch nicht gelöst?
Diese schon. Aver es gibt immer neue face-smile

Was erwartest du? Ein Java was niemals mehr Sicherheitslücken haben wird? Dann hat aber Raumschiff Enterprise schon dein Netz übernommenface-smile

Gruß,
Peter
Lochkartenstanzer
Lochkartenstanzer 11.01.2014 aktualisiert um 09:35:05 Uhr
Goto Top
Zitat von @unixmin:

Ohne Java funktionieren doch viele online Services nicht.

Dann nutzt man halt andere. face-smile

Ich kann z.B. auf Java nicht verzichten.

Wieso nicht?

Es erscheinen doch ständig neue Java Updates, sind diese Sicherheitsprobleme immer noch nicht gelöst?

es ist wie mit einem Wurmstichigen Boot. hat man ein Loch gestopft, bohrt der nächste Wurm schon das nächste, durch den das Wasser reinläuft. Solange man da keien grundsanierung macht, sprich ein ordentliches neues Boot baut, wird das nichts. Auf java üebrtrgane heißt das, daß man entweder JAVA von grudn auf neu konzipieren müßte oder gleich wegwerfen udnwas ordenliches nehmen.

Also: Löcher mal oracle und biete denen bunt bedruckte Papierscheine. Vielleicht nutzt es ja was. face-smile

lks

PS: Du könntest auch einfach das so handhaben, daß Du JAVA selektiv ein und ausschaltest, je nachdem, welchen Dienst Du gerade nutzen willst. z.B. könntest Du Dir eine VM mit JAVA machen, die urch Firewallregeln so eingeschränkt ist, daß sie nur auf die von Dir erlaubten Dienste zugreifen kann.


PPS: Und die meisten JAVA-probleme treten bei meinen Kunden auf, weil sie nicht täglich sondern (gefühlt) mehrjährlich auf Java-Updates prüfen.
108012
108012 12.01.2014 um 01:32:03 Uhr
Goto Top
Hallo,

Ich kann z.B. auf Java nicht verzichten.
Und genau das ist das Problem, jeder braucht es, jeder will es, alle nutzen es
nur dafür bezahlen will niemand, absolut niemand! Und dann hat man eben das
Problem das es auch hier und dort immer mal wieder zu Lücken kommt und die
Programmierer wechseln und für diese betriebliche Einrichtung kaum Geld locker
gemacht wird in dem Unternehmen das Java gerade von SUN übernommen hat.

Gruß
Dobby
Sheogorath
Sheogorath 12.01.2014 aktualisiert um 13:31:45 Uhr
Goto Top
Moin,

Zitat von @unixmin:

Laut heise.de (http://www.heise.de/security/dienste/Update-Check-bis-auf-weiteres-stil ..) hat Java kritische
Sicherheitslücke.
Ohne Java funktionieren doch viele online Services nicht.
Ich kann z.B. auf Java nicht verzichten.


Naja, man kann schon vieles machen, ich z.B. habe bei mir die Browser Plugins rausgenommen, indem ich die .dll umbenannt habe, damit diese kein Java verwenden.

Jetzt kannst du noch mit der AV Software deines Vertrauens eine Virtualisierung der Java.exe und javaw.exe (Am bestens des ganzen Ordners) vornehmen lasse, und schon hat man einige Probleme weniger. wenn du noch weiter gehen willst, kannst du gleich eine VM für Java nutzen, auf der sich deine Würmer austoben dürfen, wobei sich mir dann wieder die Frage stellt, wo du denn rumsurfst, wenn du dir sowas einfängst...

Ich hatte z.B. noch nie irgendeinen Virus aus dem Web bekommen (zumindest wenn meine AV Software recht hat). Gekapert wurde mein Rechner bisher auch noch nicht und naja, sonst kann ich auch nicht über Probleme klagen... Also aus meiner Sicht ist mit einer guten Auswahl der Webseiten und etwas technischem Verständnis, gepaart mit gesunden Misstrauen keine wirkliche Gefahr vorhanden. Außerdem gibt es ja für FF NoScript und Adblocker. Bei IE "Trackingschutz" und Smartscreenfilter.

Ich würde mir da nicht so riesige sorgen machen, da gibt es größere Lücken... Kein Https, noch einen Port offen, der zu sein sollte, Schicht 8, fremde USB-Sticks, usw.

Die meines Wissen einzige nahezu fehlerfreie Software ist LaTex, aber da wurde auch Geld investiert. (Oder hat da wer neue Infos?)

Gruß
Chris
Lochkartenstanzer
Lochkartenstanzer 12.01.2014 um 09:52:58 Uhr
Goto Top
Zitat von @108012:

Hallo,

> Ich kann z.B. auf Java nicht verzichten.
Und genau das ist das Problem, ...

Das Problem ist, daß die leut ncht auf java nicht verzichten könneten. Sie sind zu bequem und zu knickerig alternaive Lösungen zu nehmen.

lks
kontext
kontext 13.01.2014 um 15:24:18 Uhr
Goto Top
Hallo @unixmin,

anbei ein Link zum Oracle-Patch-Day von Jänner ...
... Oracle kündigt Patches für 36 Lücken in Java 7 SE an

Unter anderem sollen 36 Lücken in Java gestopft werden ...
... insgesamt bringt der Patchday 144 Fixes für 47 Produkte

Daher kann man getrost sagen, nein die Sicherheitsplrobleme sind immer noch nicht gelöst face-wink

Gruß
@kontext
DerWoWusste
DerWoWusste 14.01.2014 um 00:24:56 Uhr
Goto Top
Hi.

Zähle doch mal zusammen, wie viele Sicherheitslücken win7 schon hatte, seit dem Erscheinen. Hunderte. Und jeden Monat werden neue gefunden Und erwägst Du nun auch, es nicht mehr zu nutzen?
Überleg' doch auch mal, wie Du trotz der Lücken recht sicher arbeiten kannst. Es gibt da zwei Methoden, die sind nicht trivial, bringen aber sehr viel: Software restriction policies https://support.microsoft.com/kb/310791 (bzw. Applocker) und MICs http://en.wikipedia.org/wiki/Mandatory_Integrity_Control . Mit MICs kannst Du dem Browser und mit ihm den Plugins verbieten, auf diverse Ordner zuzugreifen, obwohl Du den Browser mit dem selben Nutzer startest, wie alle anderen Programme. Und keinen Pfennig dazu bezahlt.
http://www.minasi.com/apps/