Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Java 7 Update 11: Neuer Java-Exploit…

die Deutsche Post

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. die Deutsche Post

    Autor: demon driver 17.01.13 - 11:45

    Die Java-Frankierung der Post hatte immerhin funktioniert.

    Der PDF-Ansatz dagegen erschien mir vor Weihnachten noch sehr unausgereift - beim ersten Mal bekam ich anstatt des richtigen Paketscheins nur ein Testdruck-PDF. Das zweite Mal ging dann, da hatte ich zwischenzeitlich widerstrebend den Original Adobe Reader installiert. Anscheinend gibt es da mit alternativen Readern Probleme. Sowas finde ich höchst ärgerlich. Ich frage mich auch gerade, ob ich den misslungenen Schein überhaupt erstattet bekommen habe, ich weiß nur noch, dass die Post auf meine Kontaktaufnahme hin zuerst nicht reagierte...

    Während die Java-Sicherheitslücken in jüngerer Zeit prinzipiell ein gravierendes Problem sind, sehe ich mich aber persönlich mit der Regel, Applets nur bei Bedarf zu aktivieren, plus einem ordentlichen Virenscanner auf der sicheren Seite. Normale Java-Anwendungen außerhalb des Browsers sind ja eh nicht betroffen. Das größte Problem wird das sein, das Oracle hat, wenn sie die Sache da nicht bald mal ernster nehmen.

    Cheers,
    d. d.

  2. Re: die Deutsche Post

    Autor: Fun 17.01.13 - 11:55

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > ... Normale Java-Anwendungen außerhalb des Browsers
    > sind ja eh nicht betroffen. ...
    >
    > Cheers,
    > d. d.


    Kannst du das bitte begründen?
    Wir haben in der Firma eine Drittanbieter Software die Java benötigt.

    Ich weiß wie ich in allen Browsern das Java Plugin deaktiviere/deinstalliere.
    Aber wie kann ich mir sicher sein dass die normale Anwendung nicht betroffen ist und/oder ausgespäht/infiltriert wird?

    Was mich zu der Frage führt:

    kann man irgendwie systemweit Java (de-)aktivieren?
    Also dass ich irgendwo klicke "java an", nutze mein Programm, dauert nur ein paar Minuten, und wieder schließen und klicke "java aus".
    Also dass es installiert ist, aber systemweit an- und abschaltbar ist?

    Reicht es dafür z.B. sich eine batch Datei zu schreiben die die java*.exe woanders hin verschiebt und eine die sie zurück verschiebt?

  3. Re: die Deutsche Post

    Autor: Trollster 17.01.13 - 12:06

    Du kannst keine JavaAnwendungen benutzen, wenn Java selbst nicht auffindbar ist.

    Richtig, also entweder alles immer verschieben oder die Umgebungsvariablen ändern.
    Letzteres dürfte weniger Performance verschlingen.

  4. Re: die Deutsche Post

    Autor: Fun 17.01.13 - 12:31

    Trollster schrieb:
    --------------------------------------------------------------------------------
    > Du kannst keine JavaAnwendungen benutzen, wenn Java selbst nicht auffindbar
    > ist.
    >
    > Richtig, also entweder alles immer verschieben oder die Umgebungsvariablen
    > ändern.
    > Letzteres dürfte weniger Performance verschlingen.


    Cool, hab mir da jetzt was gebastelt was für meinen Fall funzt:

    @echo off

    set j1="C:\Program Files\Java\jre7\bin\java.dll"
    set j2="C:\Program Files\Java\jre7\java.dll"

    if exist %j1% goto eins
    if exist %j2% goto zwei
    echo Java nicht gefunden
    goto ende

    :eins
    copy %j1% %j2%
    del %j1%
    echo Java deaktiviert
    goto ende

    :zwei
    copy %j2% %j1%
    del %j2%
    echo Java aktiviert
    goto ende

    :ende
    pause

  5. Re: die Deutsche Post

    Autor: volkerswelt 17.01.13 - 12:32

    das alternative Reader ein Problem mit PDF-Dateien der Post haben, aber der originale Reader (Achtung, PDF ist CS) stellt es ohne Schwierigkeiten dar, ist doch klar wo das Problem ist.

    Nein, es ist nicht PDF, und es ist nicht der originale Reader, die Post ist es anscheinend auch nicht, was bleibt? ;)

  6. Re: die Deutsche Post

    Autor: rommudoh 17.01.13 - 12:51

    Fun schrieb:
    --------------------------------------------------------------------------------
    > kann man irgendwie systemweit Java (de-)aktivieren?

    lol, wozu? einfach das java programm nur starten wenn du es benutzen willst...

    oder willst du auch den internet explorer "deaktivieren", wenn du ihn nicht benutzt?

  7. Re: die Deutsche Post

    Autor: Gizzmo 17.01.13 - 12:52

    Fun schrieb:
    --------------------------------------------------------------------------------
    > demon driver schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ... Normale Java-Anwendungen außerhalb des Browsers
    > > sind ja eh nicht betroffen. ...
    > >
    > > Cheers,
    > > d. d.
    >
    > Kannst du das bitte begründen?
    > Wir haben in der Firma eine Drittanbieter Software die Java benötigt.
    >
    > Ich weiß wie ich in allen Browsern das Java Plugin
    > deaktiviere/deinstalliere.
    > Aber wie kann ich mir sicher sein dass die normale Anwendung nicht
    > betroffen ist und/oder ausgespäht/infiltriert wird?

    Ähm... nicht Java ist böswillig, sondern die Applikationen, die über ein Java Applet automatisch gestartet werden können.
    Lokal abschalten ist also völlig überflüssig.

  8. Re: die Deutsche Post

    Autor: S-Talker 17.01.13 - 12:56

    Fun schrieb:
    --------------------------------------------------------------------------------
    > demon driver schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ... Normale Java-Anwendungen außerhalb des Browsers
    > > sind ja eh nicht betroffen. ...
    > >
    > > Cheers,
    > > d. d.
    >
    > Kannst du das bitte begründen?
    > Wir haben in der Firma eine Drittanbieter Software die Java benötigt.
    >
    > Ich weiß wie ich in allen Browsern das Java Plugin
    > deaktiviere/deinstalliere.
    > Aber wie kann ich mir sicher sein dass die normale Anwendung nicht
    > betroffen ist und/oder ausgespäht/infiltriert wird?
    >

    Mit dem Browser-Plugin funktioniert es ja so, dass ein Applet gestartet wird (möglichst ohne dass der Nutzer es merkt) und dieses dann durch einen Exploit aus der Sandbox ausbricht.

    Normale Java Anwendungen sind nicht mehr oder minder gefährdet wie jede andere Applikation auch. Jede Software, die Verbindungen ins Internet aufbaut (oder noch "schlimmer" Verbindungen aus dem Internet annimmt) ist ein potentielles Risiko - egal ob mit C, Java, .NET oder was auch immer geschrieben. Hier sollte man immer auf vertrauenswürdige und ausgereifte Software setzen. Ich persönlich bevorzuge OSS mit einer großen aktiven Community.

  9. Re: die Deutsche Post

    Autor: Fun 17.01.13 - 13:49

    rommudoh schrieb:
    --------------------------------------------------------------------------------
    > Fun schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > kann man irgendwie systemweit Java (de-)aktivieren?
    >
    > lol, wozu? einfach das java programm nur starten wenn du es benutzen
    > willst...
    >
    > oder willst du auch den internet explorer "deaktivieren", wenn du ihn nicht
    > benutzt?

    Nö, aber dem IE gebe ich dann eine Proxyadresse vor die garnicht existiert.

    Gab schon genug Schadcode den man sich über beliebige Browser einfangen könnte, der dann aber Lücken im IE und dann dessen Engine nutzt um sich auszubreiten oder "nach Hause zu telefonieren".

  10. Re: die Deutsche Post

    Autor: Trockenobst 17.01.13 - 17:22

    Fun schrieb:
    --------------------------------------------------------------------------------
    > Wir haben in der Firma eine Drittanbieter Software die Java benötigt.

    Du kannst mehrere Browser Parallel installieren. Für die wenigen Sachen
    wo man das Plugin (oder auch andere Spezialfälle/Plugins braucht)
    eben einen zweiten Browser installieren.

    Desweiteren gibt es für Firefox das Plugin NOSCRIPT.
    Das verbietet Javascript und damit alle Plugins automatisch.

    Dann wird es NUR für spezifische Seiten aktiviert. (Man sieht das NOSCRIPT
    Logo). Somit kann niemand "im Vorbeigehen" irgendwas aktivieren weil
    das NoScript immer eine manuelles Aktivieren des Plugins erfordert.

    Für normale Seiten kann das z.T. extrem nervig sein. Normale User sind
    damit überfordert, da man z.T. bis zu 10 Seiten "freigeben" muss bis überhaupt
    die Seite richtig funktioniert.

    Deswegen nur in einem Extra Browser Install (Stichwort: Firefox Portable).
    Dort kann man das Plugin installieren und Noscript so bauen dass genau
    die drei Seiten freigeschaltet sind.

    > Also dass es installiert ist, aber systemweit an- und abschaltbar ist?

    Das geht relativ einfach: die java JRE legt sich in den Systempfad
    (irgendwas mit programme/java/bin). Wenn Du als Admin/User eine
    Shell aufmachst und bei "java<return>" was zurück kommt ist es im
    Systempfad. Das andere ist die Verknüpfung von .jar -> mit der selben
    Javaw.exe im selben Verzeichnis. Theoretisch könnte eine .reg Datei
    (oder ein Skripte) beides passend aktivieren und deaktivieren.

    > Reicht es dafür z.B. sich eine batch Datei zu schreiben die die java*.exe
    > woanders hin verschiebt und eine die sie zurück verschiebt?

    So was würde ich nicht machen. Das kann schneller Systeme brechen als
    einem lieb ist. Außerdem installiert sich Java gern mehrmals wg. den
    Versionsnummern. Dann hast du eins weggeschoben, aber das alte
    ist dann als Fallback noch da. Besser die Registry manipulieren.

  11. Re: die Deutsche Post

    Autor: Trockenobst 17.01.13 - 17:25

    Fun schrieb:
    --------------------------------------------------------------------------------
    > Trollster schrieb:
    > ---------------------------------------------------------------------------
    > :ende
    > pause

    Das hilft aber nur bei Sachen wo man das Plugin nutzt. Wenn jemand über
    einen anderen Vektor wie Flash eine .jar Datei auf deinen Desktop wirft
    (und so läuft das nun mal), wird die .jar Datei über die übliche JRE Verknüpfung
    aufgerufen.

    Somit wäre der bessere Weg die Registry umbiegen und bei Firefox NOSCRIPT.

  12. Re: die Deutsche Post

    Autor: consider 17.01.13 - 21:22

    demon driver schrieb:
    --------------------------------------------------------------------------------


    > Während die Java-Sicherheitslücken in jüngerer Zeit prinzipiell ein
    > gravierendes Problem sind, sehe ich mich aber persönlich mit der Regel,
    > Applets nur bei Bedarf zu aktivieren, plus einem ordentlichen Virenscanner
    > auf der sicheren Seite.

    Mit einem Virenscanner auf der sicheren Seite? Vor welcher Java-Lücke hat denn irgendein Scanner geschützt? Die Patches von Oracle waren stets scheller da, als irgendeine Schlangenölfirma reagieren konnte, wie sollten sie auch!?

    Wie in den meisten anderen Fällen eben auch, hilft hier eine aktuelle Version mehr, als irgendwelche Esotherikprogramme.

    Das Aktivieren des Plugins bei Bedarf ist das tatsächlich ein sinnvoller Ansatz. Möchte man sich vor dem Ausführen unerwünschter Software schützen, gibt es aber auch wirklich funktionierende Ansätze, wie Software Restriction Policies und Software Whitelisting.

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > ... Normale Java-Anwendungen außerhalb des Browsers
    > sind ja eh nicht betroffen. ...
    >
    > Cheers,
    > d. d.


    >> Kannst du das bitte begründen?
    >> Wir haben in der Firma eine Drittanbieter Software die Java benötigt.

    Der Angriff bezieht sich ja darauf, dass aus dem Browser heraus Anwendungen auf dem System, oder Befehle ausgeführt werden können. Somit ist er für Anwendungen, die ohnehin auf dem System laufen nicht relevant.

    Dort gibt es andere Vectoren, gegen die man sich schützen sollte und kann. Die selben, wie bei jeder C#, Cpp, oder beliebigen andren Anwendung auch.

    >> Aber wie kann ich mir sicher sein dass die normale Anwendung nicht betroffen ist >> und/oder ausgespäht/infiltriert wird?


    weil diese Javalücken sich in keinster Weise auf das Ausspähen, oder Infiltrieren von Javaprogrammen beziehen, sondern auf das unerlaubte Ausführen von Code auf dem PC
    >> Was mich zu der Frage führt:

    >> kann man irgendwie systemweit Java (de-)aktivieren?

    Ein Javaprogramm ist nur angreifbar, wenn es ausgeführt wird. Daher ist das systemweite Deaktiviern von Java unnötig, solange du sicher stellst, dass kein Javaprogramm unbemerkt, oder ungewollt, ausgeführt wird, beispielsweise in einem Browser als Applet.

    >> Also dass ich irgendwo klicke "java an", nutze mein Programm, dauert nur ein paar >> Minuten, und wieder schließen und klicke "java aus".

    Programm an und Programm aus reicht, wenn du sicher stellst, dass du der einzige bist, der "Programm an" sagt. beispielsweise durch das Deaktivieren des Javaplugins im Browser.

    >> Also dass es installiert ist, aber systemweit an- und abschaltbar ist?

    >> Reicht es dafür z.B. sich eine batch Datei zu schreiben die die java*.exe woanders >> hin verschiebt und eine die sie zurück verschiebt?

    Für Unternehmensrechner würde ich professionellere Vorgensweise empfehlen. Beispielsweise Gruppenrichtlinen, Softwarewhitelisting und SRP.

    Alle haben gemein, dass Adminrechte erforderlich sind. Auch deine Batchdatei, denn im Programmeordner darf nur mit Adminrechten geschrieben werden. Den beuntzern Adminrechte am Firmen-PC ein zu räumen halte ich für fatal. Das macht mehr Schaden, als es Nutzen hat.

    Grundsätzlich würde ich das Ausführen von Programmen auf schreibgeschützte Pfade beschränken und den Usern KEINE Adminrechte einräumen. Somit werden nur Anwendungen und Code ausgeführt, den du als Admin vorher abgesegnet hast.

    Somit kann nur euer vertrauenswürdiges Javaprogramm ausgeführt werden, welches dann selbst keinen Drittcode, der von dir nicht explizit erlaubt ist, auf dem System starten kann.

  13. Re: die Deutsche Post

    Autor: dudida 22.01.13 - 22:44

    .



    1 mal bearbeitet, zuletzt am 22.01.13 22:45 durch dudida.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. SMARTRAC TECHNOLOGY GmbH, Dresden
  2. T-Systems International GmbH, Bonn, Darmstadt, Stuttgart
  3. Deutsche Telekom AG, Bonn, Leinfelden-Echterdingen, Frankfurt am Main, München
  4. NOWEDA eG Apothekergenossenschaft, Essen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 54,85€
  2. 59,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Fifa 17 im Test: Mehr Drama auf dem Fußballplatz
Fifa 17 im Test
Mehr Drama auf dem Fußballplatz
  1. Fifa 17 Was macht Dragon Age in meiner Fifa-Demo?
  2. Electronic Arts Millionenliga mit dem Ultimate Team
  3. Fifa 17 Sonderpartnerschaft mit den Bayern

Original und Fork im Vergleichstest: Nextcloud will das bessere Owncloud sein
Original und Fork im Vergleichstest
Nextcloud will das bessere Owncloud sein
  1. Koop mit Canonical und WDLabs Nextcloud Box soll eigenes Hosten ermöglichen
  2. Kollaborationsserver Nextcloud 10 verbessert Server-Administration
  3. Open Source Nextcloud setzt sich mit Enterprise-Support von Owncloud ab

Oliver Stones Film Snowden: Schneewittchen und die nationale Sicherheit
Oliver Stones Film Snowden
Schneewittchen und die nationale Sicherheit
  1. US-Experten im Bundestag Gegen Überwachung helfen keine Gesetze
  2. Neues BND-Gesetz Eco warnt vor unkontrolliertem Zugriff auf deutschen Traffic
  3. Datenschützerin Voßhoff Geheimbericht wirft BND schwere Gesetzesverstöße vor

  1. Altiscale: SAP kauft US-Startup für 125 Millionen US-Dollar
    Altiscale
    SAP kauft US-Startup für 125 Millionen US-Dollar

    SAP hat Altiscale gekauft, um bei Big Data mehr Möglichkeiten zu haben. Das Startup könnte in dem deutschen Konzern auch eine neue Strategie in dem Bereich schaffen.

  2. Stiftung Warentest: Mailbox und Posteo gewinnen Mailprovidertest
    Stiftung Warentest
    Mailbox und Posteo gewinnen Mailprovidertest

    Mailbox und Posteo top, Gmail flop - so lässt sich der Mailprovidertest der Stiftung Warentest zusammenfassen. Nachdem der letzte Test zurückgezogen worden war, sollte dieses Mal alles besser laufen. Kritik gibt es trotzdem.

  3. Ausrüster: Kein 5G-Supermobilfunk ohne Glasfasernetz
    Ausrüster
    Kein 5G-Supermobilfunk ohne Glasfasernetz

    Die Ausrüster sehen ein gutes Glasfasernetz als Grundvoraussetzung, damit Deutschland das Ziel erreichen kann, als erstes Land ein 5G-Netz aufzuspannen. Das ist noch nicht ausreichend ausgebaut.


  1. 19:10

  2. 18:10

  3. 16:36

  4. 15:04

  5. 14:38

  6. 14:31

  7. 14:14

  8. 13:38