1. Foren
  2. » Kommentare
  3. » Security
  4. » Alle Kommentare zum Artikel
  5. » Java 7 Update 11: Neuer Java-Exploit…

die Deutsche Post

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. die Deutsche Post

    Autor demon driver 17.01.13 - 11:45

    Die Java-Frankierung der Post hatte immerhin funktioniert.

    Der PDF-Ansatz dagegen erschien mir vor Weihnachten noch sehr unausgereift - beim ersten Mal bekam ich anstatt des richtigen Paketscheins nur ein Testdruck-PDF. Das zweite Mal ging dann, da hatte ich zwischenzeitlich widerstrebend den Original Adobe Reader installiert. Anscheinend gibt es da mit alternativen Readern Probleme. Sowas finde ich höchst ärgerlich. Ich frage mich auch gerade, ob ich den misslungenen Schein überhaupt erstattet bekommen habe, ich weiß nur noch, dass die Post auf meine Kontaktaufnahme hin zuerst nicht reagierte...

    Während die Java-Sicherheitslücken in jüngerer Zeit prinzipiell ein gravierendes Problem sind, sehe ich mich aber persönlich mit der Regel, Applets nur bei Bedarf zu aktivieren, plus einem ordentlichen Virenscanner auf der sicheren Seite. Normale Java-Anwendungen außerhalb des Browsers sind ja eh nicht betroffen. Das größte Problem wird das sein, das Oracle hat, wenn sie die Sache da nicht bald mal ernster nehmen.

    Cheers,
    d. d.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: die Deutsche Post

    Autor Fun 17.01.13 - 11:55

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > ... Normale Java-Anwendungen außerhalb des Browsers
    > sind ja eh nicht betroffen. ...
    >
    > Cheers,
    > d. d.


    Kannst du das bitte begründen?
    Wir haben in der Firma eine Drittanbieter Software die Java benötigt.

    Ich weiß wie ich in allen Browsern das Java Plugin deaktiviere/deinstalliere.
    Aber wie kann ich mir sicher sein dass die normale Anwendung nicht betroffen ist und/oder ausgespäht/infiltriert wird?

    Was mich zu der Frage führt:

    kann man irgendwie systemweit Java (de-)aktivieren?
    Also dass ich irgendwo klicke "java an", nutze mein Programm, dauert nur ein paar Minuten, und wieder schließen und klicke "java aus".
    Also dass es installiert ist, aber systemweit an- und abschaltbar ist?

    Reicht es dafür z.B. sich eine batch Datei zu schreiben die die java*.exe woanders hin verschiebt und eine die sie zurück verschiebt?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: die Deutsche Post

    Autor Trollster 17.01.13 - 12:06

    Du kannst keine JavaAnwendungen benutzen, wenn Java selbst nicht auffindbar ist.

    Richtig, also entweder alles immer verschieben oder die Umgebungsvariablen ändern.
    Letzteres dürfte weniger Performance verschlingen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: die Deutsche Post

    Autor Fun 17.01.13 - 12:31

    Trollster schrieb:
    --------------------------------------------------------------------------------
    > Du kannst keine JavaAnwendungen benutzen, wenn Java selbst nicht auffindbar
    > ist.
    >
    > Richtig, also entweder alles immer verschieben oder die Umgebungsvariablen
    > ändern.
    > Letzteres dürfte weniger Performance verschlingen.


    Cool, hab mir da jetzt was gebastelt was für meinen Fall funzt:

    @echo off

    set j1="C:\Program Files\Java\jre7\bin\java.dll"
    set j2="C:\Program Files\Java\jre7\java.dll"

    if exist %j1% goto eins
    if exist %j2% goto zwei
    echo Java nicht gefunden
    goto ende

    :eins
    copy %j1% %j2%
    del %j1%
    echo Java deaktiviert
    goto ende

    :zwei
    copy %j2% %j1%
    del %j2%
    echo Java aktiviert
    goto ende

    :ende
    pause

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: die Deutsche Post

    Autor volkerswelt 17.01.13 - 12:32

    das alternative Reader ein Problem mit PDF-Dateien der Post haben, aber der originale Reader (Achtung, PDF ist CS) stellt es ohne Schwierigkeiten dar, ist doch klar wo das Problem ist.

    Nein, es ist nicht PDF, und es ist nicht der originale Reader, die Post ist es anscheinend auch nicht, was bleibt? ;)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: die Deutsche Post

    Autor rommudoh 17.01.13 - 12:51

    Fun schrieb:
    --------------------------------------------------------------------------------
    > kann man irgendwie systemweit Java (de-)aktivieren?

    lol, wozu? einfach das java programm nur starten wenn du es benutzen willst...

    oder willst du auch den internet explorer "deaktivieren", wenn du ihn nicht benutzt?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: die Deutsche Post

    Autor Gizzmo 17.01.13 - 12:52

    Fun schrieb:
    --------------------------------------------------------------------------------
    > demon driver schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ... Normale Java-Anwendungen außerhalb des Browsers
    > > sind ja eh nicht betroffen. ...
    > >
    > > Cheers,
    > > d. d.
    >
    > Kannst du das bitte begründen?
    > Wir haben in der Firma eine Drittanbieter Software die Java benötigt.
    >
    > Ich weiß wie ich in allen Browsern das Java Plugin
    > deaktiviere/deinstalliere.
    > Aber wie kann ich mir sicher sein dass die normale Anwendung nicht
    > betroffen ist und/oder ausgespäht/infiltriert wird?

    Ähm... nicht Java ist böswillig, sondern die Applikationen, die über ein Java Applet automatisch gestartet werden können.
    Lokal abschalten ist also völlig überflüssig.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: die Deutsche Post

    Autor S-Talker 17.01.13 - 12:56

    Fun schrieb:
    --------------------------------------------------------------------------------
    > demon driver schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ... Normale Java-Anwendungen außerhalb des Browsers
    > > sind ja eh nicht betroffen. ...
    > >
    > > Cheers,
    > > d. d.
    >
    > Kannst du das bitte begründen?
    > Wir haben in der Firma eine Drittanbieter Software die Java benötigt.
    >
    > Ich weiß wie ich in allen Browsern das Java Plugin
    > deaktiviere/deinstalliere.
    > Aber wie kann ich mir sicher sein dass die normale Anwendung nicht
    > betroffen ist und/oder ausgespäht/infiltriert wird?
    >

    Mit dem Browser-Plugin funktioniert es ja so, dass ein Applet gestartet wird (möglichst ohne dass der Nutzer es merkt) und dieses dann durch einen Exploit aus der Sandbox ausbricht.

    Normale Java Anwendungen sind nicht mehr oder minder gefährdet wie jede andere Applikation auch. Jede Software, die Verbindungen ins Internet aufbaut (oder noch "schlimmer" Verbindungen aus dem Internet annimmt) ist ein potentielles Risiko - egal ob mit C, Java, .NET oder was auch immer geschrieben. Hier sollte man immer auf vertrauenswürdige und ausgereifte Software setzen. Ich persönlich bevorzuge OSS mit einer großen aktiven Community.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: die Deutsche Post

    Autor Fun 17.01.13 - 13:49

    rommudoh schrieb:
    --------------------------------------------------------------------------------
    > Fun schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > kann man irgendwie systemweit Java (de-)aktivieren?
    >
    > lol, wozu? einfach das java programm nur starten wenn du es benutzen
    > willst...
    >
    > oder willst du auch den internet explorer "deaktivieren", wenn du ihn nicht
    > benutzt?

    Nö, aber dem IE gebe ich dann eine Proxyadresse vor die garnicht existiert.

    Gab schon genug Schadcode den man sich über beliebige Browser einfangen könnte, der dann aber Lücken im IE und dann dessen Engine nutzt um sich auszubreiten oder "nach Hause zu telefonieren".

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: die Deutsche Post

    Autor Trockenobst 17.01.13 - 17:22

    Fun schrieb:
    --------------------------------------------------------------------------------
    > Wir haben in der Firma eine Drittanbieter Software die Java benötigt.

    Du kannst mehrere Browser Parallel installieren. Für die wenigen Sachen
    wo man das Plugin (oder auch andere Spezialfälle/Plugins braucht)
    eben einen zweiten Browser installieren.

    Desweiteren gibt es für Firefox das Plugin NOSCRIPT.
    Das verbietet Javascript und damit alle Plugins automatisch.

    Dann wird es NUR für spezifische Seiten aktiviert. (Man sieht das NOSCRIPT
    Logo). Somit kann niemand "im Vorbeigehen" irgendwas aktivieren weil
    das NoScript immer eine manuelles Aktivieren des Plugins erfordert.

    Für normale Seiten kann das z.T. extrem nervig sein. Normale User sind
    damit überfordert, da man z.T. bis zu 10 Seiten "freigeben" muss bis überhaupt
    die Seite richtig funktioniert.

    Deswegen nur in einem Extra Browser Install (Stichwort: Firefox Portable).
    Dort kann man das Plugin installieren und Noscript so bauen dass genau
    die drei Seiten freigeschaltet sind.

    > Also dass es installiert ist, aber systemweit an- und abschaltbar ist?

    Das geht relativ einfach: die java JRE legt sich in den Systempfad
    (irgendwas mit programme/java/bin). Wenn Du als Admin/User eine
    Shell aufmachst und bei "java<return>" was zurück kommt ist es im
    Systempfad. Das andere ist die Verknüpfung von .jar -> mit der selben
    Javaw.exe im selben Verzeichnis. Theoretisch könnte eine .reg Datei
    (oder ein Skripte) beides passend aktivieren und deaktivieren.

    > Reicht es dafür z.B. sich eine batch Datei zu schreiben die die java*.exe
    > woanders hin verschiebt und eine die sie zurück verschiebt?

    So was würde ich nicht machen. Das kann schneller Systeme brechen als
    einem lieb ist. Außerdem installiert sich Java gern mehrmals wg. den
    Versionsnummern. Dann hast du eins weggeschoben, aber das alte
    ist dann als Fallback noch da. Besser die Registry manipulieren.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: die Deutsche Post

    Autor Trockenobst 17.01.13 - 17:25

    Fun schrieb:
    --------------------------------------------------------------------------------
    > Trollster schrieb:
    > ---------------------------------------------------------------------------
    > :ende
    > pause

    Das hilft aber nur bei Sachen wo man das Plugin nutzt. Wenn jemand über
    einen anderen Vektor wie Flash eine .jar Datei auf deinen Desktop wirft
    (und so läuft das nun mal), wird die .jar Datei über die übliche JRE Verknüpfung
    aufgerufen.

    Somit wäre der bessere Weg die Registry umbiegen und bei Firefox NOSCRIPT.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: die Deutsche Post

    Autor consider 17.01.13 - 21:22

    demon driver schrieb:
    --------------------------------------------------------------------------------


    > Während die Java-Sicherheitslücken in jüngerer Zeit prinzipiell ein
    > gravierendes Problem sind, sehe ich mich aber persönlich mit der Regel,
    > Applets nur bei Bedarf zu aktivieren, plus einem ordentlichen Virenscanner
    > auf der sicheren Seite.

    Mit einem Virenscanner auf der sicheren Seite? Vor welcher Java-Lücke hat denn irgendein Scanner geschützt? Die Patches von Oracle waren stets scheller da, als irgendeine Schlangenölfirma reagieren konnte, wie sollten sie auch!?

    Wie in den meisten anderen Fällen eben auch, hilft hier eine aktuelle Version mehr, als irgendwelche Esotherikprogramme.

    Das Aktivieren des Plugins bei Bedarf ist das tatsächlich ein sinnvoller Ansatz. Möchte man sich vor dem Ausführen unerwünschter Software schützen, gibt es aber auch wirklich funktionierende Ansätze, wie Software Restriction Policies und Software Whitelisting.

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > ... Normale Java-Anwendungen außerhalb des Browsers
    > sind ja eh nicht betroffen. ...
    >
    > Cheers,
    > d. d.


    >> Kannst du das bitte begründen?
    >> Wir haben in der Firma eine Drittanbieter Software die Java benötigt.

    Der Angriff bezieht sich ja darauf, dass aus dem Browser heraus Anwendungen auf dem System, oder Befehle ausgeführt werden können. Somit ist er für Anwendungen, die ohnehin auf dem System laufen nicht relevant.

    Dort gibt es andere Vectoren, gegen die man sich schützen sollte und kann. Die selben, wie bei jeder C#, Cpp, oder beliebigen andren Anwendung auch.

    >> Aber wie kann ich mir sicher sein dass die normale Anwendung nicht betroffen ist >> und/oder ausgespäht/infiltriert wird?


    weil diese Javalücken sich in keinster Weise auf das Ausspähen, oder Infiltrieren von Javaprogrammen beziehen, sondern auf das unerlaubte Ausführen von Code auf dem PC
    >> Was mich zu der Frage führt:

    >> kann man irgendwie systemweit Java (de-)aktivieren?

    Ein Javaprogramm ist nur angreifbar, wenn es ausgeführt wird. Daher ist das systemweite Deaktiviern von Java unnötig, solange du sicher stellst, dass kein Javaprogramm unbemerkt, oder ungewollt, ausgeführt wird, beispielsweise in einem Browser als Applet.

    >> Also dass ich irgendwo klicke "java an", nutze mein Programm, dauert nur ein paar >> Minuten, und wieder schließen und klicke "java aus".

    Programm an und Programm aus reicht, wenn du sicher stellst, dass du der einzige bist, der "Programm an" sagt. beispielsweise durch das Deaktivieren des Javaplugins im Browser.

    >> Also dass es installiert ist, aber systemweit an- und abschaltbar ist?

    >> Reicht es dafür z.B. sich eine batch Datei zu schreiben die die java*.exe woanders >> hin verschiebt und eine die sie zurück verschiebt?

    Für Unternehmensrechner würde ich professionellere Vorgensweise empfehlen. Beispielsweise Gruppenrichtlinen, Softwarewhitelisting und SRP.

    Alle haben gemein, dass Adminrechte erforderlich sind. Auch deine Batchdatei, denn im Programmeordner darf nur mit Adminrechten geschrieben werden. Den beuntzern Adminrechte am Firmen-PC ein zu räumen halte ich für fatal. Das macht mehr Schaden, als es Nutzen hat.

    Grundsätzlich würde ich das Ausführen von Programmen auf schreibgeschützte Pfade beschränken und den Usern KEINE Adminrechte einräumen. Somit werden nur Anwendungen und Code ausgeführt, den du als Admin vorher abgesegnet hast.

    Somit kann nur euer vertrauenswürdiges Javaprogramm ausgeführt werden, welches dann selbst keinen Drittcode, der von dir nicht explizit erlaubt ist, auf dem System starten kann.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: die Deutsche Post

    Autor dudida 22.01.13 - 22:44

    .



    1 mal bearbeitet, zuletzt am 22.01.13 22:45 durch dudida.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Test Fifa Fußball-WM Brasilien 2014: Unkomplizierter Kick ins WM-Finale
Test Fifa Fußball-WM Brasilien 2014
Unkomplizierter Kick ins WM-Finale

Am 8. Juni 2014 bezieht die deutsche Nationalmannschaft ihr Trainingslager "Campo Bahia" in Brasilien, um einen Anlauf auf den Gewinn des WM-Pokals zu nehmen. Wer sichergehen will, dass es diesmal mit dem Titel klappt, kann zu Fifa Fußball-WM Brasilien 2014 greifen.

  1. Fifa WM 2014 Brasilien angespielt Mit Schweini & Co. nach Südamerika
  2. EA Sports Fifa kickt in Brasilien 2014

Test LG L40: Android 4.4.2 macht müde Smartphones munter
Test LG L40
Android 4.4.2 macht müde Smartphones munter

Mit dem L40 präsentiert LG eines der ersten Smartphones mit der aktuellen Android-Version 4.4.2, das unter 100 Euro kostet. Dank der Optimierungen von Kitkat überrascht die Leistung des kleinen Gerätes - und es dürfte nicht nur für Einsteiger interessant sein.

  1. LG G3 5,5-Zoll-Smartphone mit 1440p-Display und Kitkat
  2. LG L35 Smartphone mit Android 4.4 für 80 Euro
  3. Programmierbare LED-Lampe LG kündigt Alternative zur Philips Hue an

OpenSSL: Wichtige Fragen und Antworten zu Heartbleed
OpenSSL
Wichtige Fragen und Antworten zu Heartbleed

Der Heartbleed-Bug in OpenSSL dürfte wohl als eine der gravierendsten Sicherheitslücken aller Zeiten in die Geschichte eingehen. Wir haben die wichtigsten Infos zusammengefasst.

  1. OpenSSL OpenBSD mistet Code aus
  2. OpenSSL-Lücke Programmierer bezeichnet Heartbleed als Versehen
  3. OpenSSL-Bug Spuren von Heartbleed schon im November 2013

  1. Quartalsbericht: Google kann Gewinn nur leicht steigern
    Quartalsbericht
    Google kann Gewinn nur leicht steigern

    Google hat im ersten Quartal 3,45 Milliarden US-Dollar Gewinn gemacht. Die Analysten waren mit einigen Angaben nicht zufrieden, und der Kurs der Aktie fiel.

  2. Maynard: Wayland-Shell für den Raspberry Pi
    Maynard
    Wayland-Shell für den Raspberry Pi

    Um künftig auch Wayland-Anwendungen auf dem Raspberry Pi nutzen zu können, entwickelt ein Team eine eigens geschriebene Desktop-Shell, die bereits als Paket getestet werden kann.

  3. BGH-Urteil: Typenbezeichnung gehört in eine Werbeanzeige
    BGH-Urteil
    Typenbezeichnung gehört in eine Werbeanzeige

    Ein Elektromarkt darf nicht mit unspezifischen Geräteangaben werben. Technische Details in den Anzeigen reichen nach Ansicht des BGH nicht aus.


  1. 22:36

  2. 17:41

  3. 17:16

  4. 17:09

  5. 16:19

  6. 16:14

  7. 15:55

  8. 15:43