1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Java 7 Update 11: Neuer Java-Exploit…

die Deutsche Post

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. die Deutsche Post

    Autor demon driver 17.01.13 - 11:45

    Die Java-Frankierung der Post hatte immerhin funktioniert.

    Der PDF-Ansatz dagegen erschien mir vor Weihnachten noch sehr unausgereift - beim ersten Mal bekam ich anstatt des richtigen Paketscheins nur ein Testdruck-PDF. Das zweite Mal ging dann, da hatte ich zwischenzeitlich widerstrebend den Original Adobe Reader installiert. Anscheinend gibt es da mit alternativen Readern Probleme. Sowas finde ich höchst ärgerlich. Ich frage mich auch gerade, ob ich den misslungenen Schein überhaupt erstattet bekommen habe, ich weiß nur noch, dass die Post auf meine Kontaktaufnahme hin zuerst nicht reagierte...

    Während die Java-Sicherheitslücken in jüngerer Zeit prinzipiell ein gravierendes Problem sind, sehe ich mich aber persönlich mit der Regel, Applets nur bei Bedarf zu aktivieren, plus einem ordentlichen Virenscanner auf der sicheren Seite. Normale Java-Anwendungen außerhalb des Browsers sind ja eh nicht betroffen. Das größte Problem wird das sein, das Oracle hat, wenn sie die Sache da nicht bald mal ernster nehmen.

    Cheers,
    d. d.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: die Deutsche Post

    Autor Fun 17.01.13 - 11:55

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > ... Normale Java-Anwendungen außerhalb des Browsers
    > sind ja eh nicht betroffen. ...
    >
    > Cheers,
    > d. d.


    Kannst du das bitte begründen?
    Wir haben in der Firma eine Drittanbieter Software die Java benötigt.

    Ich weiß wie ich in allen Browsern das Java Plugin deaktiviere/deinstalliere.
    Aber wie kann ich mir sicher sein dass die normale Anwendung nicht betroffen ist und/oder ausgespäht/infiltriert wird?

    Was mich zu der Frage führt:

    kann man irgendwie systemweit Java (de-)aktivieren?
    Also dass ich irgendwo klicke "java an", nutze mein Programm, dauert nur ein paar Minuten, und wieder schließen und klicke "java aus".
    Also dass es installiert ist, aber systemweit an- und abschaltbar ist?

    Reicht es dafür z.B. sich eine batch Datei zu schreiben die die java*.exe woanders hin verschiebt und eine die sie zurück verschiebt?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: die Deutsche Post

    Autor Trollster 17.01.13 - 12:06

    Du kannst keine JavaAnwendungen benutzen, wenn Java selbst nicht auffindbar ist.

    Richtig, also entweder alles immer verschieben oder die Umgebungsvariablen ändern.
    Letzteres dürfte weniger Performance verschlingen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: die Deutsche Post

    Autor Fun 17.01.13 - 12:31

    Trollster schrieb:
    --------------------------------------------------------------------------------
    > Du kannst keine JavaAnwendungen benutzen, wenn Java selbst nicht auffindbar
    > ist.
    >
    > Richtig, also entweder alles immer verschieben oder die Umgebungsvariablen
    > ändern.
    > Letzteres dürfte weniger Performance verschlingen.


    Cool, hab mir da jetzt was gebastelt was für meinen Fall funzt:

    @echo off

    set j1="C:\Program Files\Java\jre7\bin\java.dll"
    set j2="C:\Program Files\Java\jre7\java.dll"

    if exist %j1% goto eins
    if exist %j2% goto zwei
    echo Java nicht gefunden
    goto ende

    :eins
    copy %j1% %j2%
    del %j1%
    echo Java deaktiviert
    goto ende

    :zwei
    copy %j2% %j1%
    del %j2%
    echo Java aktiviert
    goto ende

    :ende
    pause

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: die Deutsche Post

    Autor volkerswelt 17.01.13 - 12:32

    das alternative Reader ein Problem mit PDF-Dateien der Post haben, aber der originale Reader (Achtung, PDF ist CS) stellt es ohne Schwierigkeiten dar, ist doch klar wo das Problem ist.

    Nein, es ist nicht PDF, und es ist nicht der originale Reader, die Post ist es anscheinend auch nicht, was bleibt? ;)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: die Deutsche Post

    Autor rommudoh 17.01.13 - 12:51

    Fun schrieb:
    --------------------------------------------------------------------------------
    > kann man irgendwie systemweit Java (de-)aktivieren?

    lol, wozu? einfach das java programm nur starten wenn du es benutzen willst...

    oder willst du auch den internet explorer "deaktivieren", wenn du ihn nicht benutzt?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: die Deutsche Post

    Autor Gizzmo 17.01.13 - 12:52

    Fun schrieb:
    --------------------------------------------------------------------------------
    > demon driver schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ... Normale Java-Anwendungen außerhalb des Browsers
    > > sind ja eh nicht betroffen. ...
    > >
    > > Cheers,
    > > d. d.
    >
    > Kannst du das bitte begründen?
    > Wir haben in der Firma eine Drittanbieter Software die Java benötigt.
    >
    > Ich weiß wie ich in allen Browsern das Java Plugin
    > deaktiviere/deinstalliere.
    > Aber wie kann ich mir sicher sein dass die normale Anwendung nicht
    > betroffen ist und/oder ausgespäht/infiltriert wird?

    Ähm... nicht Java ist böswillig, sondern die Applikationen, die über ein Java Applet automatisch gestartet werden können.
    Lokal abschalten ist also völlig überflüssig.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: die Deutsche Post

    Autor S-Talker 17.01.13 - 12:56

    Fun schrieb:
    --------------------------------------------------------------------------------
    > demon driver schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ... Normale Java-Anwendungen außerhalb des Browsers
    > > sind ja eh nicht betroffen. ...
    > >
    > > Cheers,
    > > d. d.
    >
    > Kannst du das bitte begründen?
    > Wir haben in der Firma eine Drittanbieter Software die Java benötigt.
    >
    > Ich weiß wie ich in allen Browsern das Java Plugin
    > deaktiviere/deinstalliere.
    > Aber wie kann ich mir sicher sein dass die normale Anwendung nicht
    > betroffen ist und/oder ausgespäht/infiltriert wird?
    >

    Mit dem Browser-Plugin funktioniert es ja so, dass ein Applet gestartet wird (möglichst ohne dass der Nutzer es merkt) und dieses dann durch einen Exploit aus der Sandbox ausbricht.

    Normale Java Anwendungen sind nicht mehr oder minder gefährdet wie jede andere Applikation auch. Jede Software, die Verbindungen ins Internet aufbaut (oder noch "schlimmer" Verbindungen aus dem Internet annimmt) ist ein potentielles Risiko - egal ob mit C, Java, .NET oder was auch immer geschrieben. Hier sollte man immer auf vertrauenswürdige und ausgereifte Software setzen. Ich persönlich bevorzuge OSS mit einer großen aktiven Community.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: die Deutsche Post

    Autor Fun 17.01.13 - 13:49

    rommudoh schrieb:
    --------------------------------------------------------------------------------
    > Fun schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > kann man irgendwie systemweit Java (de-)aktivieren?
    >
    > lol, wozu? einfach das java programm nur starten wenn du es benutzen
    > willst...
    >
    > oder willst du auch den internet explorer "deaktivieren", wenn du ihn nicht
    > benutzt?

    Nö, aber dem IE gebe ich dann eine Proxyadresse vor die garnicht existiert.

    Gab schon genug Schadcode den man sich über beliebige Browser einfangen könnte, der dann aber Lücken im IE und dann dessen Engine nutzt um sich auszubreiten oder "nach Hause zu telefonieren".

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: die Deutsche Post

    Autor Trockenobst 17.01.13 - 17:22

    Fun schrieb:
    --------------------------------------------------------------------------------
    > Wir haben in der Firma eine Drittanbieter Software die Java benötigt.

    Du kannst mehrere Browser Parallel installieren. Für die wenigen Sachen
    wo man das Plugin (oder auch andere Spezialfälle/Plugins braucht)
    eben einen zweiten Browser installieren.

    Desweiteren gibt es für Firefox das Plugin NOSCRIPT.
    Das verbietet Javascript und damit alle Plugins automatisch.

    Dann wird es NUR für spezifische Seiten aktiviert. (Man sieht das NOSCRIPT
    Logo). Somit kann niemand "im Vorbeigehen" irgendwas aktivieren weil
    das NoScript immer eine manuelles Aktivieren des Plugins erfordert.

    Für normale Seiten kann das z.T. extrem nervig sein. Normale User sind
    damit überfordert, da man z.T. bis zu 10 Seiten "freigeben" muss bis überhaupt
    die Seite richtig funktioniert.

    Deswegen nur in einem Extra Browser Install (Stichwort: Firefox Portable).
    Dort kann man das Plugin installieren und Noscript so bauen dass genau
    die drei Seiten freigeschaltet sind.

    > Also dass es installiert ist, aber systemweit an- und abschaltbar ist?

    Das geht relativ einfach: die java JRE legt sich in den Systempfad
    (irgendwas mit programme/java/bin). Wenn Du als Admin/User eine
    Shell aufmachst und bei "java<return>" was zurück kommt ist es im
    Systempfad. Das andere ist die Verknüpfung von .jar -> mit der selben
    Javaw.exe im selben Verzeichnis. Theoretisch könnte eine .reg Datei
    (oder ein Skripte) beides passend aktivieren und deaktivieren.

    > Reicht es dafür z.B. sich eine batch Datei zu schreiben die die java*.exe
    > woanders hin verschiebt und eine die sie zurück verschiebt?

    So was würde ich nicht machen. Das kann schneller Systeme brechen als
    einem lieb ist. Außerdem installiert sich Java gern mehrmals wg. den
    Versionsnummern. Dann hast du eins weggeschoben, aber das alte
    ist dann als Fallback noch da. Besser die Registry manipulieren.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: die Deutsche Post

    Autor Trockenobst 17.01.13 - 17:25

    Fun schrieb:
    --------------------------------------------------------------------------------
    > Trollster schrieb:
    > ---------------------------------------------------------------------------
    > :ende
    > pause

    Das hilft aber nur bei Sachen wo man das Plugin nutzt. Wenn jemand über
    einen anderen Vektor wie Flash eine .jar Datei auf deinen Desktop wirft
    (und so läuft das nun mal), wird die .jar Datei über die übliche JRE Verknüpfung
    aufgerufen.

    Somit wäre der bessere Weg die Registry umbiegen und bei Firefox NOSCRIPT.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: die Deutsche Post

    Autor consider 17.01.13 - 21:22

    demon driver schrieb:
    --------------------------------------------------------------------------------


    > Während die Java-Sicherheitslücken in jüngerer Zeit prinzipiell ein
    > gravierendes Problem sind, sehe ich mich aber persönlich mit der Regel,
    > Applets nur bei Bedarf zu aktivieren, plus einem ordentlichen Virenscanner
    > auf der sicheren Seite.

    Mit einem Virenscanner auf der sicheren Seite? Vor welcher Java-Lücke hat denn irgendein Scanner geschützt? Die Patches von Oracle waren stets scheller da, als irgendeine Schlangenölfirma reagieren konnte, wie sollten sie auch!?

    Wie in den meisten anderen Fällen eben auch, hilft hier eine aktuelle Version mehr, als irgendwelche Esotherikprogramme.

    Das Aktivieren des Plugins bei Bedarf ist das tatsächlich ein sinnvoller Ansatz. Möchte man sich vor dem Ausführen unerwünschter Software schützen, gibt es aber auch wirklich funktionierende Ansätze, wie Software Restriction Policies und Software Whitelisting.

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > ... Normale Java-Anwendungen außerhalb des Browsers
    > sind ja eh nicht betroffen. ...
    >
    > Cheers,
    > d. d.


    >> Kannst du das bitte begründen?
    >> Wir haben in der Firma eine Drittanbieter Software die Java benötigt.

    Der Angriff bezieht sich ja darauf, dass aus dem Browser heraus Anwendungen auf dem System, oder Befehle ausgeführt werden können. Somit ist er für Anwendungen, die ohnehin auf dem System laufen nicht relevant.

    Dort gibt es andere Vectoren, gegen die man sich schützen sollte und kann. Die selben, wie bei jeder C#, Cpp, oder beliebigen andren Anwendung auch.

    >> Aber wie kann ich mir sicher sein dass die normale Anwendung nicht betroffen ist >> und/oder ausgespäht/infiltriert wird?


    weil diese Javalücken sich in keinster Weise auf das Ausspähen, oder Infiltrieren von Javaprogrammen beziehen, sondern auf das unerlaubte Ausführen von Code auf dem PC
    >> Was mich zu der Frage führt:

    >> kann man irgendwie systemweit Java (de-)aktivieren?

    Ein Javaprogramm ist nur angreifbar, wenn es ausgeführt wird. Daher ist das systemweite Deaktiviern von Java unnötig, solange du sicher stellst, dass kein Javaprogramm unbemerkt, oder ungewollt, ausgeführt wird, beispielsweise in einem Browser als Applet.

    >> Also dass ich irgendwo klicke "java an", nutze mein Programm, dauert nur ein paar >> Minuten, und wieder schließen und klicke "java aus".

    Programm an und Programm aus reicht, wenn du sicher stellst, dass du der einzige bist, der "Programm an" sagt. beispielsweise durch das Deaktivieren des Javaplugins im Browser.

    >> Also dass es installiert ist, aber systemweit an- und abschaltbar ist?

    >> Reicht es dafür z.B. sich eine batch Datei zu schreiben die die java*.exe woanders >> hin verschiebt und eine die sie zurück verschiebt?

    Für Unternehmensrechner würde ich professionellere Vorgensweise empfehlen. Beispielsweise Gruppenrichtlinen, Softwarewhitelisting und SRP.

    Alle haben gemein, dass Adminrechte erforderlich sind. Auch deine Batchdatei, denn im Programmeordner darf nur mit Adminrechten geschrieben werden. Den beuntzern Adminrechte am Firmen-PC ein zu räumen halte ich für fatal. Das macht mehr Schaden, als es Nutzen hat.

    Grundsätzlich würde ich das Ausführen von Programmen auf schreibgeschützte Pfade beschränken und den Usern KEINE Adminrechte einräumen. Somit werden nur Anwendungen und Code ausgeführt, den du als Admin vorher abgesegnet hast.

    Somit kann nur euer vertrauenswürdiges Javaprogramm ausgeführt werden, welches dann selbst keinen Drittcode, der von dir nicht explizit erlaubt ist, auf dem System starten kann.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: die Deutsche Post

    Autor dudida 22.01.13 - 22:44

    .



    1 mal bearbeitet, zuletzt am 22.01.13 22:45 durch dudida.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Lytro: Lichtfeldfotografie bildet die Tiefe der Welt ab
Lytro
Lichtfeldfotografie bildet die Tiefe der Welt ab
  1. Minikamera Ai-Ball Die WLAN-Kamera aus dem Überraschungsei
  2. Photokina 2014 Olympus stellt Open-Source-Kamerakonzept vor
  3. Digitalkamera Nikon zeigt erste Vollformat-DSLR mit Klappdisplay

Zoobotics: Vier- und sechsbeinige Pappkameraden
Zoobotics
Vier- und sechsbeinige Pappkameraden
  1. Schnell, aber ungenau Roboter springt im Explosionsschritt
  2. Softrobotik Weicher Roboter bekommt neuen Antrieb
  3. Dyson 360 Eye Staubsauger schickt Sauberkeitsbericht übers Smartphone

Apples iOS 8 im Test: Das mittelmäßigste Release aller Zeiten
Apples iOS 8 im Test
Das mittelmäßigste Release aller Zeiten
  1. Potenzielles Sicherheitsproblem iOS-8-Tastaturen wollen mithören
  2. Apple Update auf iOS 8 macht das iPhone 4S träger
  3. Watchever und Dropbox Einige Apps haben Probleme mit iOS 8

  1. Bundesgerichtshof: Ärzte müssen Bewertungen im Internet dulden
    Bundesgerichtshof
    Ärzte müssen Bewertungen im Internet dulden

    Ein Arzt aus München wollte nicht auf einem Bewertungsportal geführt werden. Doch der Bundesgerichtshof urteilte, dass das Recht auf informationelle Selbstbestimmung nicht das Recht auf Kommunikationsfreiheit überwiegt.

  2. Apt: Buffer Overflow in Debians Paketmanagement
    Apt
    Buffer Overflow in Debians Paketmanagement

    Im von Debian und Ubuntu verwendeten Paketmanagement Apt ist ein sicherheitskritischer Fehler entdeckt worden. Es ist bereits das zweite Mal in kurzer Zeit, dass Apt Sicherheitsprobleme hat.

  3. Impera i10G: Allview stellt neues Windows-Tablet für 280 Euro vor
    Impera i10G
    Allview stellt neues Windows-Tablet für 280 Euro vor

    Mit dem Impera i10G hat Allview ein neues Tablet mit Windows 8.1 mit Bing gezeigt, das mit einem 9,7-Zoll-Display und einem Bay-Trail-Prozessor ausgestattet ist. Außerdem können Nutzer über ein eingebautes Modem unterwegs online gehen.


  1. 22:10

  2. 20:22

  3. 16:51

  4. 16:43

  5. 16:30

  6. 14:51

  7. 14:16

  8. 13:36