1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Java 7 Update 11: Neuer Java-Exploit…

die Deutsche Post

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. die Deutsche Post

    Autor demon driver 17.01.13 - 11:45

    Die Java-Frankierung der Post hatte immerhin funktioniert.

    Der PDF-Ansatz dagegen erschien mir vor Weihnachten noch sehr unausgereift - beim ersten Mal bekam ich anstatt des richtigen Paketscheins nur ein Testdruck-PDF. Das zweite Mal ging dann, da hatte ich zwischenzeitlich widerstrebend den Original Adobe Reader installiert. Anscheinend gibt es da mit alternativen Readern Probleme. Sowas finde ich höchst ärgerlich. Ich frage mich auch gerade, ob ich den misslungenen Schein überhaupt erstattet bekommen habe, ich weiß nur noch, dass die Post auf meine Kontaktaufnahme hin zuerst nicht reagierte...

    Während die Java-Sicherheitslücken in jüngerer Zeit prinzipiell ein gravierendes Problem sind, sehe ich mich aber persönlich mit der Regel, Applets nur bei Bedarf zu aktivieren, plus einem ordentlichen Virenscanner auf der sicheren Seite. Normale Java-Anwendungen außerhalb des Browsers sind ja eh nicht betroffen. Das größte Problem wird das sein, das Oracle hat, wenn sie die Sache da nicht bald mal ernster nehmen.

    Cheers,
    d. d.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: die Deutsche Post

    Autor Fun 17.01.13 - 11:55

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > ... Normale Java-Anwendungen außerhalb des Browsers
    > sind ja eh nicht betroffen. ...
    >
    > Cheers,
    > d. d.


    Kannst du das bitte begründen?
    Wir haben in der Firma eine Drittanbieter Software die Java benötigt.

    Ich weiß wie ich in allen Browsern das Java Plugin deaktiviere/deinstalliere.
    Aber wie kann ich mir sicher sein dass die normale Anwendung nicht betroffen ist und/oder ausgespäht/infiltriert wird?

    Was mich zu der Frage führt:

    kann man irgendwie systemweit Java (de-)aktivieren?
    Also dass ich irgendwo klicke "java an", nutze mein Programm, dauert nur ein paar Minuten, und wieder schließen und klicke "java aus".
    Also dass es installiert ist, aber systemweit an- und abschaltbar ist?

    Reicht es dafür z.B. sich eine batch Datei zu schreiben die die java*.exe woanders hin verschiebt und eine die sie zurück verschiebt?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: die Deutsche Post

    Autor Trollster 17.01.13 - 12:06

    Du kannst keine JavaAnwendungen benutzen, wenn Java selbst nicht auffindbar ist.

    Richtig, also entweder alles immer verschieben oder die Umgebungsvariablen ändern.
    Letzteres dürfte weniger Performance verschlingen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: die Deutsche Post

    Autor Fun 17.01.13 - 12:31

    Trollster schrieb:
    --------------------------------------------------------------------------------
    > Du kannst keine JavaAnwendungen benutzen, wenn Java selbst nicht auffindbar
    > ist.
    >
    > Richtig, also entweder alles immer verschieben oder die Umgebungsvariablen
    > ändern.
    > Letzteres dürfte weniger Performance verschlingen.


    Cool, hab mir da jetzt was gebastelt was für meinen Fall funzt:

    @echo off

    set j1="C:\Program Files\Java\jre7\bin\java.dll"
    set j2="C:\Program Files\Java\jre7\java.dll"

    if exist %j1% goto eins
    if exist %j2% goto zwei
    echo Java nicht gefunden
    goto ende

    :eins
    copy %j1% %j2%
    del %j1%
    echo Java deaktiviert
    goto ende

    :zwei
    copy %j2% %j1%
    del %j2%
    echo Java aktiviert
    goto ende

    :ende
    pause

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: die Deutsche Post

    Autor volkerswelt 17.01.13 - 12:32

    das alternative Reader ein Problem mit PDF-Dateien der Post haben, aber der originale Reader (Achtung, PDF ist CS) stellt es ohne Schwierigkeiten dar, ist doch klar wo das Problem ist.

    Nein, es ist nicht PDF, und es ist nicht der originale Reader, die Post ist es anscheinend auch nicht, was bleibt? ;)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: die Deutsche Post

    Autor rommudoh 17.01.13 - 12:51

    Fun schrieb:
    --------------------------------------------------------------------------------
    > kann man irgendwie systemweit Java (de-)aktivieren?

    lol, wozu? einfach das java programm nur starten wenn du es benutzen willst...

    oder willst du auch den internet explorer "deaktivieren", wenn du ihn nicht benutzt?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: die Deutsche Post

    Autor Gizzmo 17.01.13 - 12:52

    Fun schrieb:
    --------------------------------------------------------------------------------
    > demon driver schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ... Normale Java-Anwendungen außerhalb des Browsers
    > > sind ja eh nicht betroffen. ...
    > >
    > > Cheers,
    > > d. d.
    >
    > Kannst du das bitte begründen?
    > Wir haben in der Firma eine Drittanbieter Software die Java benötigt.
    >
    > Ich weiß wie ich in allen Browsern das Java Plugin
    > deaktiviere/deinstalliere.
    > Aber wie kann ich mir sicher sein dass die normale Anwendung nicht
    > betroffen ist und/oder ausgespäht/infiltriert wird?

    Ähm... nicht Java ist böswillig, sondern die Applikationen, die über ein Java Applet automatisch gestartet werden können.
    Lokal abschalten ist also völlig überflüssig.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: die Deutsche Post

    Autor S-Talker 17.01.13 - 12:56

    Fun schrieb:
    --------------------------------------------------------------------------------
    > demon driver schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ... Normale Java-Anwendungen außerhalb des Browsers
    > > sind ja eh nicht betroffen. ...
    > >
    > > Cheers,
    > > d. d.
    >
    > Kannst du das bitte begründen?
    > Wir haben in der Firma eine Drittanbieter Software die Java benötigt.
    >
    > Ich weiß wie ich in allen Browsern das Java Plugin
    > deaktiviere/deinstalliere.
    > Aber wie kann ich mir sicher sein dass die normale Anwendung nicht
    > betroffen ist und/oder ausgespäht/infiltriert wird?
    >

    Mit dem Browser-Plugin funktioniert es ja so, dass ein Applet gestartet wird (möglichst ohne dass der Nutzer es merkt) und dieses dann durch einen Exploit aus der Sandbox ausbricht.

    Normale Java Anwendungen sind nicht mehr oder minder gefährdet wie jede andere Applikation auch. Jede Software, die Verbindungen ins Internet aufbaut (oder noch "schlimmer" Verbindungen aus dem Internet annimmt) ist ein potentielles Risiko - egal ob mit C, Java, .NET oder was auch immer geschrieben. Hier sollte man immer auf vertrauenswürdige und ausgereifte Software setzen. Ich persönlich bevorzuge OSS mit einer großen aktiven Community.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: die Deutsche Post

    Autor Fun 17.01.13 - 13:49

    rommudoh schrieb:
    --------------------------------------------------------------------------------
    > Fun schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > kann man irgendwie systemweit Java (de-)aktivieren?
    >
    > lol, wozu? einfach das java programm nur starten wenn du es benutzen
    > willst...
    >
    > oder willst du auch den internet explorer "deaktivieren", wenn du ihn nicht
    > benutzt?

    Nö, aber dem IE gebe ich dann eine Proxyadresse vor die garnicht existiert.

    Gab schon genug Schadcode den man sich über beliebige Browser einfangen könnte, der dann aber Lücken im IE und dann dessen Engine nutzt um sich auszubreiten oder "nach Hause zu telefonieren".

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: die Deutsche Post

    Autor Trockenobst 17.01.13 - 17:22

    Fun schrieb:
    --------------------------------------------------------------------------------
    > Wir haben in der Firma eine Drittanbieter Software die Java benötigt.

    Du kannst mehrere Browser Parallel installieren. Für die wenigen Sachen
    wo man das Plugin (oder auch andere Spezialfälle/Plugins braucht)
    eben einen zweiten Browser installieren.

    Desweiteren gibt es für Firefox das Plugin NOSCRIPT.
    Das verbietet Javascript und damit alle Plugins automatisch.

    Dann wird es NUR für spezifische Seiten aktiviert. (Man sieht das NOSCRIPT
    Logo). Somit kann niemand "im Vorbeigehen" irgendwas aktivieren weil
    das NoScript immer eine manuelles Aktivieren des Plugins erfordert.

    Für normale Seiten kann das z.T. extrem nervig sein. Normale User sind
    damit überfordert, da man z.T. bis zu 10 Seiten "freigeben" muss bis überhaupt
    die Seite richtig funktioniert.

    Deswegen nur in einem Extra Browser Install (Stichwort: Firefox Portable).
    Dort kann man das Plugin installieren und Noscript so bauen dass genau
    die drei Seiten freigeschaltet sind.

    > Also dass es installiert ist, aber systemweit an- und abschaltbar ist?

    Das geht relativ einfach: die java JRE legt sich in den Systempfad
    (irgendwas mit programme/java/bin). Wenn Du als Admin/User eine
    Shell aufmachst und bei "java<return>" was zurück kommt ist es im
    Systempfad. Das andere ist die Verknüpfung von .jar -> mit der selben
    Javaw.exe im selben Verzeichnis. Theoretisch könnte eine .reg Datei
    (oder ein Skripte) beides passend aktivieren und deaktivieren.

    > Reicht es dafür z.B. sich eine batch Datei zu schreiben die die java*.exe
    > woanders hin verschiebt und eine die sie zurück verschiebt?

    So was würde ich nicht machen. Das kann schneller Systeme brechen als
    einem lieb ist. Außerdem installiert sich Java gern mehrmals wg. den
    Versionsnummern. Dann hast du eins weggeschoben, aber das alte
    ist dann als Fallback noch da. Besser die Registry manipulieren.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: die Deutsche Post

    Autor Trockenobst 17.01.13 - 17:25

    Fun schrieb:
    --------------------------------------------------------------------------------
    > Trollster schrieb:
    > ---------------------------------------------------------------------------
    > :ende
    > pause

    Das hilft aber nur bei Sachen wo man das Plugin nutzt. Wenn jemand über
    einen anderen Vektor wie Flash eine .jar Datei auf deinen Desktop wirft
    (und so läuft das nun mal), wird die .jar Datei über die übliche JRE Verknüpfung
    aufgerufen.

    Somit wäre der bessere Weg die Registry umbiegen und bei Firefox NOSCRIPT.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: die Deutsche Post

    Autor consider 17.01.13 - 21:22

    demon driver schrieb:
    --------------------------------------------------------------------------------


    > Während die Java-Sicherheitslücken in jüngerer Zeit prinzipiell ein
    > gravierendes Problem sind, sehe ich mich aber persönlich mit der Regel,
    > Applets nur bei Bedarf zu aktivieren, plus einem ordentlichen Virenscanner
    > auf der sicheren Seite.

    Mit einem Virenscanner auf der sicheren Seite? Vor welcher Java-Lücke hat denn irgendein Scanner geschützt? Die Patches von Oracle waren stets scheller da, als irgendeine Schlangenölfirma reagieren konnte, wie sollten sie auch!?

    Wie in den meisten anderen Fällen eben auch, hilft hier eine aktuelle Version mehr, als irgendwelche Esotherikprogramme.

    Das Aktivieren des Plugins bei Bedarf ist das tatsächlich ein sinnvoller Ansatz. Möchte man sich vor dem Ausführen unerwünschter Software schützen, gibt es aber auch wirklich funktionierende Ansätze, wie Software Restriction Policies und Software Whitelisting.

    demon driver schrieb:
    --------------------------------------------------------------------------------
    > ... Normale Java-Anwendungen außerhalb des Browsers
    > sind ja eh nicht betroffen. ...
    >
    > Cheers,
    > d. d.


    >> Kannst du das bitte begründen?
    >> Wir haben in der Firma eine Drittanbieter Software die Java benötigt.

    Der Angriff bezieht sich ja darauf, dass aus dem Browser heraus Anwendungen auf dem System, oder Befehle ausgeführt werden können. Somit ist er für Anwendungen, die ohnehin auf dem System laufen nicht relevant.

    Dort gibt es andere Vectoren, gegen die man sich schützen sollte und kann. Die selben, wie bei jeder C#, Cpp, oder beliebigen andren Anwendung auch.

    >> Aber wie kann ich mir sicher sein dass die normale Anwendung nicht betroffen ist >> und/oder ausgespäht/infiltriert wird?


    weil diese Javalücken sich in keinster Weise auf das Ausspähen, oder Infiltrieren von Javaprogrammen beziehen, sondern auf das unerlaubte Ausführen von Code auf dem PC
    >> Was mich zu der Frage führt:

    >> kann man irgendwie systemweit Java (de-)aktivieren?

    Ein Javaprogramm ist nur angreifbar, wenn es ausgeführt wird. Daher ist das systemweite Deaktiviern von Java unnötig, solange du sicher stellst, dass kein Javaprogramm unbemerkt, oder ungewollt, ausgeführt wird, beispielsweise in einem Browser als Applet.

    >> Also dass ich irgendwo klicke "java an", nutze mein Programm, dauert nur ein paar >> Minuten, und wieder schließen und klicke "java aus".

    Programm an und Programm aus reicht, wenn du sicher stellst, dass du der einzige bist, der "Programm an" sagt. beispielsweise durch das Deaktivieren des Javaplugins im Browser.

    >> Also dass es installiert ist, aber systemweit an- und abschaltbar ist?

    >> Reicht es dafür z.B. sich eine batch Datei zu schreiben die die java*.exe woanders >> hin verschiebt und eine die sie zurück verschiebt?

    Für Unternehmensrechner würde ich professionellere Vorgensweise empfehlen. Beispielsweise Gruppenrichtlinen, Softwarewhitelisting und SRP.

    Alle haben gemein, dass Adminrechte erforderlich sind. Auch deine Batchdatei, denn im Programmeordner darf nur mit Adminrechten geschrieben werden. Den beuntzern Adminrechte am Firmen-PC ein zu räumen halte ich für fatal. Das macht mehr Schaden, als es Nutzen hat.

    Grundsätzlich würde ich das Ausführen von Programmen auf schreibgeschützte Pfade beschränken und den Usern KEINE Adminrechte einräumen. Somit werden nur Anwendungen und Code ausgeführt, den du als Admin vorher abgesegnet hast.

    Somit kann nur euer vertrauenswürdiges Javaprogramm ausgeführt werden, welches dann selbst keinen Drittcode, der von dir nicht explizit erlaubt ist, auf dem System starten kann.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: die Deutsche Post

    Autor dudida 22.01.13 - 22:44

    .



    1 mal bearbeitet, zuletzt am 22.01.13 22:45 durch dudida.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Test Destiny: Schicksal voller Widersprüche
Test Destiny
Schicksal voller Widersprüche
  1. Destiny 500 Millionen US-Dollar Umsatz mit "steriler Welt"
  2. Destiny "Größter Unterschied sind sehr pixelige Schatten"
  3. Bungie Kostenloses Upgrade von Old- zu Current-Gen-Konsolen

Physik: Zeitreisen ohne Paradoxon
Physik
Zeitreisen ohne Paradoxon
  1. Gehirnforschung Licht programmiert Gedächtnis um
  2. Neues Instrument Holometer Ist unser Universum zweidimensional?
  3. Sofia Der fliegende Blick durch den Staub

Doppelmayr-Seilbahn: Boliviens U-Bahn der Lüfte
Doppelmayr-Seilbahn
Boliviens U-Bahn der Lüfte

  1. Soziale Netzwerke: Offline-Freund bleibt wichtiger als Online-Freund
    Soziale Netzwerke
    Offline-Freund bleibt wichtiger als Online-Freund

    Für Kinder und Jugendliche sind Offline-Freunde wichtiger als die Kontakte in sozialen Netzwerken wie Facebook. Zu diesem Ergebnis kommt eine Studie der Uni Bielefeld unter Schülern der fünften bis zehnten Klasse.

  2. Internet-Partei: Kim Dotcom scheitert bei Wahl in Neuseeland
    Internet-Partei
    Kim Dotcom scheitert bei Wahl in Neuseeland

    Er wollte Neuseelands IT-Infrastruktur ausbauen und faire Internetpreise durchsetzen. Jetzt hat Kim Dotcom mit seiner Internet-Partei die Wahlen in Neuseeland verloren und kann nicht ins Parlament einziehen.

  3. SpaceX: Privater Raumfrachter Dragon zur ISS gestartet
    SpaceX
    Privater Raumfrachter Dragon zur ISS gestartet

    Einen Tag später als geplant ist der private Raumfrachter Dragon am Sonntagmorgen zur Internationalen Raumstation ISS gestartet. Es ist der vierte Versorgungsflug des Frachters, der vom US-Unternehmen SpaceX für die Nasa entwickelt wurde.


  1. 14:00

  2. 13:15

  3. 12:30

  4. 12:18

  5. 12:16

  6. 14:11

  7. 13:09

  8. 18:22