Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Java 7 Update 11: Neuer Java-Exploit…

die Deutsche Post

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. die Deutsche Post

    Autor: demon driver 17.01.13 - 11:45

    Die Java-Frankierung der Post hatte immerhin funktioniert.

    Der PDF-Ansatz dagegen erschien mir vor Weihnachten noch sehr unausgereift - beim ersten Mal bekam ich anstatt des richtigen Paketscheins nur ein Testdruck-PDF. Das zweite Mal ging dann, da hatte ich zwischenzeitlich widerstrebend den Original Adobe Reader installiert. Anscheinend gibt es da mit alternativen Readern Probleme. Sowas finde ich höchst ärgerlich. Ich frage mich auch gerade, ob ich den misslungenen Schein überhaupt erstattet bekommen habe, ich weiß nur noch, dass die Post auf meine Kontaktaufnahme hin zuerst nicht reagierte...

    Während die Java-Sicherheitslücken in jüngerer Zeit prinzipiell ein gravierendes Problem sind, sehe ich mich aber persönlich mit der Regel, Applets nur bei Bedarf zu aktivieren, plus einem ordentlichen Virenscanner auf der sicheren Seite. Normale Java-Anwendungen außerhalb des Browsers sind ja eh nicht betroffen. Das größte Problem wird das sein, das Oracle hat, wenn sie die Sache da nicht bald mal ernster nehmen.

    Cheers,
    d. d.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: die Deutsche Post

    Autor: Fun 17.01.13 - 11:55

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > ... Normale Java-Anwendungen außerhalb des Browsers
    > sind ja eh nicht betroffen. ...
    >
    > Cheers,
    > d. d.


    Kannst du das bitte begründen?
    Wir haben in der Firma eine Drittanbieter Software die Java benötigt.

    Ich weiß wie ich in allen Browsern das Java Plugin deaktiviere/deinstalliere.
    Aber wie kann ich mir sicher sein dass die normale Anwendung nicht betroffen ist und/oder ausgespäht/infiltriert wird?

    Was mich zu der Frage führt:

    kann man irgendwie systemweit Java (de-)aktivieren?
    Also dass ich irgendwo klicke "java an", nutze mein Programm, dauert nur ein paar Minuten, und wieder schließen und klicke "java aus".
    Also dass es installiert ist, aber systemweit an- und abschaltbar ist?

    Reicht es dafür z.B. sich eine batch Datei zu schreiben die die java*.exe woanders hin verschiebt und eine die sie zurück verschiebt?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: die Deutsche Post

    Autor: Trollster 17.01.13 - 12:06

    Du kannst keine JavaAnwendungen benutzen, wenn Java selbst nicht auffindbar ist.

    Richtig, also entweder alles immer verschieben oder die Umgebungsvariablen ändern.
    Letzteres dürfte weniger Performance verschlingen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: die Deutsche Post

    Autor: Fun 17.01.13 - 12:31

    Trollster schrieb:
    --------------------------------------------------------------------------------
    > Du kannst keine JavaAnwendungen benutzen, wenn Java selbst nicht auffindbar
    > ist.
    >
    > Richtig, also entweder alles immer verschieben oder die Umgebungsvariablen
    > ändern.
    > Letzteres dürfte weniger Performance verschlingen.


    Cool, hab mir da jetzt was gebastelt was für meinen Fall funzt:

    @echo off

    set j1="C:\Program Files\Java\jre7\bin\java.dll"
    set j2="C:\Program Files\Java\jre7\java.dll"

    if exist %j1% goto eins
    if exist %j2% goto zwei
    echo Java nicht gefunden
    goto ende

    :eins
    copy %j1% %j2%
    del %j1%
    echo Java deaktiviert
    goto ende

    :zwei
    copy %j2% %j1%
    del %j2%
    echo Java aktiviert
    goto ende

    :ende
    pause

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: die Deutsche Post

    Autor: volkerswelt 17.01.13 - 12:32

    das alternative Reader ein Problem mit PDF-Dateien der Post haben, aber der originale Reader (Achtung, PDF ist CS) stellt es ohne Schwierigkeiten dar, ist doch klar wo das Problem ist.

    Nein, es ist nicht PDF, und es ist nicht der originale Reader, die Post ist es anscheinend auch nicht, was bleibt? ;)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: die Deutsche Post

    Autor: rommudoh 17.01.13 - 12:51

    Fun schrieb:
    --------------------------------------------------------------------------------
    > kann man irgendwie systemweit Java (de-)aktivieren?

    lol, wozu? einfach das java programm nur starten wenn du es benutzen willst...

    oder willst du auch den internet explorer "deaktivieren", wenn du ihn nicht benutzt?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: die Deutsche Post

    Autor: Gizzmo 17.01.13 - 12:52

    Fun schrieb:
    --------------------------------------------------------------------------------
    > demon driver schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ... Normale Java-Anwendungen außerhalb des Browsers
    > > sind ja eh nicht betroffen. ...
    > >
    > > Cheers,
    > > d. d.
    >
    > Kannst du das bitte begründen?
    > Wir haben in der Firma eine Drittanbieter Software die Java benötigt.
    >
    > Ich weiß wie ich in allen Browsern das Java Plugin
    > deaktiviere/deinstalliere.
    > Aber wie kann ich mir sicher sein dass die normale Anwendung nicht
    > betroffen ist und/oder ausgespäht/infiltriert wird?

    Ähm... nicht Java ist böswillig, sondern die Applikationen, die über ein Java Applet automatisch gestartet werden können.
    Lokal abschalten ist also völlig überflüssig.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: die Deutsche Post

    Autor: S-Talker 17.01.13 - 12:56

    Fun schrieb:
    --------------------------------------------------------------------------------
    > demon driver schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ... Normale Java-Anwendungen außerhalb des Browsers
    > > sind ja eh nicht betroffen. ...
    > >
    > > Cheers,
    > > d. d.
    >
    > Kannst du das bitte begründen?
    > Wir haben in der Firma eine Drittanbieter Software die Java benötigt.
    >
    > Ich weiß wie ich in allen Browsern das Java Plugin
    > deaktiviere/deinstalliere.
    > Aber wie kann ich mir sicher sein dass die normale Anwendung nicht
    > betroffen ist und/oder ausgespäht/infiltriert wird?
    >

    Mit dem Browser-Plugin funktioniert es ja so, dass ein Applet gestartet wird (möglichst ohne dass der Nutzer es merkt) und dieses dann durch einen Exploit aus der Sandbox ausbricht.

    Normale Java Anwendungen sind nicht mehr oder minder gefährdet wie jede andere Applikation auch. Jede Software, die Verbindungen ins Internet aufbaut (oder noch "schlimmer" Verbindungen aus dem Internet annimmt) ist ein potentielles Risiko - egal ob mit C, Java, .NET oder was auch immer geschrieben. Hier sollte man immer auf vertrauenswürdige und ausgereifte Software setzen. Ich persönlich bevorzuge OSS mit einer großen aktiven Community.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: die Deutsche Post

    Autor: Fun 17.01.13 - 13:49

    rommudoh schrieb:
    --------------------------------------------------------------------------------
    > Fun schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > kann man irgendwie systemweit Java (de-)aktivieren?
    >
    > lol, wozu? einfach das java programm nur starten wenn du es benutzen
    > willst...
    >
    > oder willst du auch den internet explorer "deaktivieren", wenn du ihn nicht
    > benutzt?

    Nö, aber dem IE gebe ich dann eine Proxyadresse vor die garnicht existiert.

    Gab schon genug Schadcode den man sich über beliebige Browser einfangen könnte, der dann aber Lücken im IE und dann dessen Engine nutzt um sich auszubreiten oder "nach Hause zu telefonieren".

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: die Deutsche Post

    Autor: Trockenobst 17.01.13 - 17:22

    Fun schrieb:
    --------------------------------------------------------------------------------
    > Wir haben in der Firma eine Drittanbieter Software die Java benötigt.

    Du kannst mehrere Browser Parallel installieren. Für die wenigen Sachen
    wo man das Plugin (oder auch andere Spezialfälle/Plugins braucht)
    eben einen zweiten Browser installieren.

    Desweiteren gibt es für Firefox das Plugin NOSCRIPT.
    Das verbietet Javascript und damit alle Plugins automatisch.

    Dann wird es NUR für spezifische Seiten aktiviert. (Man sieht das NOSCRIPT
    Logo). Somit kann niemand "im Vorbeigehen" irgendwas aktivieren weil
    das NoScript immer eine manuelles Aktivieren des Plugins erfordert.

    Für normale Seiten kann das z.T. extrem nervig sein. Normale User sind
    damit überfordert, da man z.T. bis zu 10 Seiten "freigeben" muss bis überhaupt
    die Seite richtig funktioniert.

    Deswegen nur in einem Extra Browser Install (Stichwort: Firefox Portable).
    Dort kann man das Plugin installieren und Noscript so bauen dass genau
    die drei Seiten freigeschaltet sind.

    > Also dass es installiert ist, aber systemweit an- und abschaltbar ist?

    Das geht relativ einfach: die java JRE legt sich in den Systempfad
    (irgendwas mit programme/java/bin). Wenn Du als Admin/User eine
    Shell aufmachst und bei "java<return>" was zurück kommt ist es im
    Systempfad. Das andere ist die Verknüpfung von .jar -> mit der selben
    Javaw.exe im selben Verzeichnis. Theoretisch könnte eine .reg Datei
    (oder ein Skripte) beides passend aktivieren und deaktivieren.

    > Reicht es dafür z.B. sich eine batch Datei zu schreiben die die java*.exe
    > woanders hin verschiebt und eine die sie zurück verschiebt?

    So was würde ich nicht machen. Das kann schneller Systeme brechen als
    einem lieb ist. Außerdem installiert sich Java gern mehrmals wg. den
    Versionsnummern. Dann hast du eins weggeschoben, aber das alte
    ist dann als Fallback noch da. Besser die Registry manipulieren.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: die Deutsche Post

    Autor: Trockenobst 17.01.13 - 17:25

    Fun schrieb:
    --------------------------------------------------------------------------------
    > Trollster schrieb:
    > ---------------------------------------------------------------------------
    > :ende
    > pause

    Das hilft aber nur bei Sachen wo man das Plugin nutzt. Wenn jemand über
    einen anderen Vektor wie Flash eine .jar Datei auf deinen Desktop wirft
    (und so läuft das nun mal), wird die .jar Datei über die übliche JRE Verknüpfung
    aufgerufen.

    Somit wäre der bessere Weg die Registry umbiegen und bei Firefox NOSCRIPT.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: die Deutsche Post

    Autor: consider 17.01.13 - 21:22

    demon driver schrieb:
    --------------------------------------------------------------------------------


    > Während die Java-Sicherheitslücken in jüngerer Zeit prinzipiell ein
    > gravierendes Problem sind, sehe ich mich aber persönlich mit der Regel,
    > Applets nur bei Bedarf zu aktivieren, plus einem ordentlichen Virenscanner
    > auf der sicheren Seite.

    Mit einem Virenscanner auf der sicheren Seite? Vor welcher Java-Lücke hat denn irgendein Scanner geschützt? Die Patches von Oracle waren stets scheller da, als irgendeine Schlangenölfirma reagieren konnte, wie sollten sie auch!?

    Wie in den meisten anderen Fällen eben auch, hilft hier eine aktuelle Version mehr, als irgendwelche Esotherikprogramme.

    Das Aktivieren des Plugins bei Bedarf ist das tatsächlich ein sinnvoller Ansatz. Möchte man sich vor dem Ausführen unerwünschter Software schützen, gibt es aber auch wirklich funktionierende Ansätze, wie Software Restriction Policies und Software Whitelisting.

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > ... Normale Java-Anwendungen außerhalb des Browsers
    > sind ja eh nicht betroffen. ...
    >
    > Cheers,
    > d. d.


    >> Kannst du das bitte begründen?
    >> Wir haben in der Firma eine Drittanbieter Software die Java benötigt.

    Der Angriff bezieht sich ja darauf, dass aus dem Browser heraus Anwendungen auf dem System, oder Befehle ausgeführt werden können. Somit ist er für Anwendungen, die ohnehin auf dem System laufen nicht relevant.

    Dort gibt es andere Vectoren, gegen die man sich schützen sollte und kann. Die selben, wie bei jeder C#, Cpp, oder beliebigen andren Anwendung auch.

    >> Aber wie kann ich mir sicher sein dass die normale Anwendung nicht betroffen ist >> und/oder ausgespäht/infiltriert wird?


    weil diese Javalücken sich in keinster Weise auf das Ausspähen, oder Infiltrieren von Javaprogrammen beziehen, sondern auf das unerlaubte Ausführen von Code auf dem PC
    >> Was mich zu der Frage führt:

    >> kann man irgendwie systemweit Java (de-)aktivieren?

    Ein Javaprogramm ist nur angreifbar, wenn es ausgeführt wird. Daher ist das systemweite Deaktiviern von Java unnötig, solange du sicher stellst, dass kein Javaprogramm unbemerkt, oder ungewollt, ausgeführt wird, beispielsweise in einem Browser als Applet.

    >> Also dass ich irgendwo klicke "java an", nutze mein Programm, dauert nur ein paar >> Minuten, und wieder schließen und klicke "java aus".

    Programm an und Programm aus reicht, wenn du sicher stellst, dass du der einzige bist, der "Programm an" sagt. beispielsweise durch das Deaktivieren des Javaplugins im Browser.

    >> Also dass es installiert ist, aber systemweit an- und abschaltbar ist?

    >> Reicht es dafür z.B. sich eine batch Datei zu schreiben die die java*.exe woanders >> hin verschiebt und eine die sie zurück verschiebt?

    Für Unternehmensrechner würde ich professionellere Vorgensweise empfehlen. Beispielsweise Gruppenrichtlinen, Softwarewhitelisting und SRP.

    Alle haben gemein, dass Adminrechte erforderlich sind. Auch deine Batchdatei, denn im Programmeordner darf nur mit Adminrechten geschrieben werden. Den beuntzern Adminrechte am Firmen-PC ein zu räumen halte ich für fatal. Das macht mehr Schaden, als es Nutzen hat.

    Grundsätzlich würde ich das Ausführen von Programmen auf schreibgeschützte Pfade beschränken und den Usern KEINE Adminrechte einräumen. Somit werden nur Anwendungen und Code ausgeführt, den du als Admin vorher abgesegnet hast.

    Somit kann nur euer vertrauenswürdiges Javaprogramm ausgeführt werden, welches dann selbst keinen Drittcode, der von dir nicht explizit erlaubt ist, auf dem System starten kann.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: die Deutsche Post

    Autor: dudida 22.01.13 - 22:44

    .



    1 mal bearbeitet, zuletzt am 22.01.13 22:45 durch dudida.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Infokom GmbH, Karlsruhe und Bad Nauheim
  2. Robert Bosch GmbH, Leonberg
  3. IT-Dienstleistungszentrum Berlin, Berlin
  4. S. Siedle & Söhne Telefon- und Telegrafenwerke OHG, Furtwangen


Anzeige
Hardware-Angebote
  1. 18,99€ inkl. Versand
  2. (u. a. Asus GTX 1070 Strix OC, MSI GTX 1070 Gaming X 8G und Aero 8G OC)
  3. 349€ + 3,99€ Versand


Haben wir etwas übersehen?

E-Mail an news@golem.de


Huawei Matebook im Test: Guter Laptop-Ersatz mit zu starker Konkurrenz
Huawei Matebook im Test
Guter Laptop-Ersatz mit zu starker Konkurrenz
  1. Netze Huawei steigert Umsatz stark
  2. Huawei Österreich führt Hybridtechnik ein
  3. Huawei Deutsche Telekom testet LTE-V auf der A9

Xiaomi Mi Band 2 im Hands on: Fitness-Preisbrecher mit Hack-App
Xiaomi Mi Band 2 im Hands on
Fitness-Preisbrecher mit Hack-App
  1. Xiaomi Hugo Barra verkündet Premium-Smartphone
  2. Redmi 3S Xiaomis neues Smartphone kostet umgerechnet 95 Euro
  3. Mi Band 2 Xiaomis neues Fitness-Armband mit Pulsmesser kostet 20 Euro

Amoklauf in München: De Maizière reanimiert Killerspiel-Debatte
Amoklauf in München
De Maizière reanimiert Killerspiel-Debatte

  1. Innovation Train: Deutsche Bahn kooperiert mit Hyperloop
    Innovation Train
    Deutsche Bahn kooperiert mit Hyperloop

    Mehr sehen, als draußen zu sehen ist: Die Deutsche Bahn will in einem Zug transparente Bildschirme ins Fenster einbauen, auf denen sich der Fahrgast digitale Informationen anzeigen lassen kann. Partner in dem Projekt ist Hyperloop Transportation Technologies.

  2. International E-Sport Federation: Alibaba steckt 150 Millionen US-Dollar in E-Sport
    International E-Sport Federation
    Alibaba steckt 150 Millionen US-Dollar in E-Sport

    Teilnahme an den Olympischen Spielen, spezielle Stadien und neue Turniere: Der chinesische Handelskonzern Alibaba investiert mehr als 150 Millionen US-Dollar in den E-Sport.

  3. Kartendienst: Daimler-Entwickler Herrtwich übernimmt Auto-Bereich von Here
    Kartendienst
    Daimler-Entwickler Herrtwich übernimmt Auto-Bereich von Here

    Der Kartendienst Here hat für seinen Automotive-Bereich einen renommierten Chef gefunden. Dieser will "das vollständigste virtuelle Abbild unserer Welt in Echtzeit erschaffen".


  1. 18:45

  2. 17:23

  3. 15:58

  4. 15:42

  5. 15:31

  6. 14:42

  7. 14:00

  8. 12:37