# Schwere Sicherheitslücke in Java 7 (BSI rät, Plug-In zu deaktivieren)



## Niza (28. August 2012)

*Schwere Sicherheitslücke in Java 7 (BSI rät, Plug-In zu deaktivieren)*

Hi Leute

Es wurde eine schwere Sicherheitslücke in Java 7 entdeckt.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) rät das Plugin zu deaktivieren.

Betroffen sind bis jetzt alle 7er Versionen von Java incl. Update 6.
Danke an TempestX1



*Ich übernehme das mal aus der Quelle:*
"In der aktuellen Java-Version 7 ist eine schwere Sicherheitslücke  entdeckt worden. Deshalb sollte das Java-Plug-in in den Einstellungen  des Browsers deaktiviert werden, wenn es nicht benötigt wird, rät das  Bundesamt für Sicherheit in der Informationstechnik .

Wer das Plug-in nicht deaktiviert, läuft Gefahr, dass beim Besuch  manipulierter Webseiten Angreifer Schadsoftware auf Windows-Rechner  schleusen. 
Die Schwachstelle werde bereits gezielt für Angriffe  ausgenutzt.

Wer Java ohnehin nicht benötigt, sollte die Laufzeitumgebung am besten ganz deinstallieren.

Wann die Lücke gestopft wird, ist noch nicht bekannt."


*Hier mal ein paar Infos wie man Java deaktiviert:*

Hier Mozilla:
So deaktievieren sie das Java-Web-Plug-In in  Mozilla Firefox
Hier Google Chrome:
So deaktivieren sie das Java-Web-Plug-In in Google Chrome
Hier Safari :
So deaktivieren Sie das Java-Web-Plug-In in Safari
Hier Opera:
Opera's Settings File Explained
Beim Internet Explorer am besten Java deinstallieren.
Zitat von BSI:
"Wer den IE einsetzt, sollte Java daher besser vollständig über Systemsteuerung/Software deinstallieren"

Danke auch an TempestX1

*Meine Meinung :*
Jetzt lässt sich natürlich darüber spekulieren wie schwer die Sicherheitslücke wirklich ist
Meiner Meinung nach muss man sich, solange man keine falschen Seiten besucht, sowieso keine Sorgen machen.

*Quellen :*
Bundesamt rät Plug-in zu deaktivieren: Java 7 mit schwerer Sicherheitslücke
Warnung vor kritischer Java-Lücke | heise online
BSI warnt vor hochkritischer Java-Lücke | heise online
*
UPDATE vom 31.08.2012*

Jave hat nun innerhelp von 2 bis 3 Tagen mit einen *Notfall Update* also Update 7 die Kritische *Sicherheitslücke geschlossen*.

Java 7 Update 7: Oracle schließt kritische Java-Lücke - Golem.de

Oracle reagiert mit Notfall-Update auf Java-Schwachstelle | heise online

Also sollte das Update 7 unbedingt so schnell wie möglich installiert werden.

Danke an Kredar

Das ist meine aller Erste News.

Anregungen und Antworten sind Willkommen

Mfg:
Niza


----------



## DerBratmaxe (28. August 2012)

*AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)*

Java ist für 2 Sachen bekannt ...

1. Stürzt es nur ab und
2. Ist es das größte derzeitige Sicherheitsrisiko


----------



## kühlprofi (28. August 2012)

*AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)*



DerBratmaxe schrieb:


> Java ist für 2. Sachen bekannt ...
> 
> 1. Stürzt es nur ab und
> 2. Ist es das größte derzeitige Sicherheitsrisiko



Was stürzt ab die Java Runtime oder die schlecht programmierte Java-Anwendung?
Ausserdem ist es dafür bekannt Plattformunabhängig zu sein, weshalb es ja auch oft im Einsatz ist.
Hast du eine Studie gemacht, die erklärt das Java das grösste Sicherheitsrisiko ist?

Die Meldungen über schwere Sicherheitslücken häufen sich seit Jahren und das betrifft ganz bestimmt nicht immer Java.
Wie man zwischen einer Sicerheitslücke und einer schweren Sicherheitslücke unterscheidet, würde mich auch interssieren - oder wird das nur so hochgehypt 



> https://www.bsi.bund.de/DE/Themen/w...SicherheitvonJava/sicherheitvonjava_node.html
> *Sicherheit der Java Plattform*
> 
> Sicherheit war seit der ersten Stunde der Java-Technologie eines der zentralen Entwurfsziele. Dies bietet den grundlegenden Vorteil, dass Sicherheit ein immanenter Bestandteil der Java-Architektur ist, statt nachträglich zur eigentlichen Funktionalität hinzugefügt zu werden.
> ...


----------



## Kondar (28. August 2012)

*AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)*

Zitat :
Meiner meinung nach muss man sich solange man keine falschen Seiten besucht sowieso keine Sorgen machen.

Ist die PCG-H eine falsche Seite oder nur die von Steam/Sony?
JEDE Seite kann gehackt werden oder die Werbepartner die man ggf. auf der rechten Seite 
sieht.

Denoch danke für die Info zu Java.


----------



## X-CosmicBlue (28. August 2012)

*AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)*



DerBratmaxe schrieb:


> Java ist für 2. Sachen bekannt ...
> 
> 1. Stürzt es nur ab und
> 2. Ist es das größte derzeitige Sicherheitsrisiko


Java ist für zwei (nicht zweitens) Sachen bekannt:

1. Funktionieren viele Webseiten auch ohne, zumindest das wichtigste auf diesen
2. (hier wirklich mit Punkt, weil zweitens) Ist Java plattformunabhängig und damit die einzige Möglichkeit Anwendungen über Betriebssystemgrenzen hinweg zu nutzen
3. Ist meiner Meinung nach Flash immernoch das größte Sicherheitsrisiko, denn jede Homepage muß ja animierte Elemente als Hingucker aufweisen, sei es für oder wegen Werbung, blingbling hier, blingbling da...schrecklich.

P.S.: Ja, ich kann zählen


----------



## Spiczek (28. August 2012)

*AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)*

Von welcher Version 7 sprechen wir hier überhaupt? Ich höre immer nur aktuell...

Vllt. sollte dann auch das Kind beim Namen genannt werden und die Updateversion dazu geschrieben werden. Geht es jetzt um Update 6 oder wie?


----------



## TempestX1 (28. August 2012)

*AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)*



Spiczek schrieb:


> Von welcher Version 7 sprechen wir hier überhaupt? Ich höre immer nur aktuell...


Bis jetzt sind alle 7er betroffen.

Warnung vor kritischer Java-Lücke | heise online


			
				heise schrieb:
			
		

> Daher ist noch völlig unklar, wann die Schwachstelle geschlossen wird. Das nächste reguläre Update würde erst am 16. Oktober erscheinen.





Allerdings sehe ich auch Macromedia Flash als die größte Sicherheitslücke im PC Bereich an und hoffe das Teil wird so schnell wie möglich begraben.


----------



## Niza (28. August 2012)

*AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)*



TempestX1 schrieb:


> Bis jetzt sind alle 7er betroffen.
> 
> Warnung vor kritischer Java-Lücke | heise online


 
Ich habe das mit übernommen 
Danke dir

EDIT:
Ich finde diese Zitat so gut von heise:
"..Generell ist es eine Überlegung Wert, das Browser-Plug-in von Java in den Ruhestand zu schicken.
Schließlich ist die Wahrscheinlichkeit gering, noch auf eine Webseite zu stoßen, die Java für legitime Zwecke einsetzt...."

Mfg:
Niza


----------



## Bensta (28. August 2012)

*AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)*

Nur Windows ? alles klar


----------



## Nuallan (28. August 2012)

*AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)*



kühlprofi schrieb:


> Die Meldungen über schwere Sicherheitslücken häufen sich seit Jahren und das betrifft ganz bestimmt nicht immer Java.



Nö, aber meistens.


----------



## Homerclon (28. August 2012)

*AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)*

Bei mir war es eh schon deaktiviert.
Automatisch von Firefox, mit dem Kommentar: "Java (TM) Plattform SE7 U_#_ ist bekannt als Ursache für Sicherheits- und Stabilitätsprobleme."


----------



## Spiczek (28. August 2012)

*AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)*

Ich muss da jetzt nochmal nachhaken.

Ich nutze den Opera. Mit F12 kann ich ja das Javascript deaktivieren. Ist das jetzt das, was im Brwoser diese Lücke macht? Sorry für mein dummes Gefrage, aber so richtig haut die Bemerkung mit "kaum noch Javaunterstützung von Webseiten" nicht hin. Wenn ich das nämlich abschalte, habe ich auf vielen Seiten Probleme. Angefangen bei google, welches dann die Autovervollständigung nicht mehr macht. Und gerade über ein anderes Thema zu zattoo gesurft, dort wird mit deaktiviertem Javascript auch kaum was angezeigt.

Eine Aufklärung für DAUs wäre schön. Habe mich mit dem Thema JAVA nie so richtig beschäftigt. Es war halt immer da.

Edit: Seltsam. Ich habe Zattoo gerade mal mit Chrome angesurft. Obwohl dort ebenfalls Java deaktiviert ist, zeigt der alles an. Kann mir das auch nochmal jemand erklären warum das so ist?


----------



## razzor1984 (28. August 2012)

*AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)*

Gibt ja mehrer formen wie man sich gegen, Zerodays schützn kann oder im worst case recht fudamentale bugs. Dazu haben uns die Chipentwickler das V-Bit gegeben  Für altägliches kann man ja ein Vmar rennen lassn, geht man noch ein stück weiter setzt man einen Server auf, in diesen werkelt wiederum eine Virtualmachine, zur Absicherung ist auf dem Server auch noch ein IDS+ Virenscanner aktiv 

@Spiczek.

Java ist nicht vorrangig von nöten wenn man webpage X ansurft. Die geschichte mit Zattoo, vielleicht ist die page state of the art und schon auf HTML5 ? Da ensteidet der Browser ^^ 
(HTML5 = nachfolger von Flash, kann aber um einiges mehr  )


----------



## TempestX1 (28. August 2012)

*AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)*



Spiczek schrieb:


> Ich muss da jetzt nochmal nachhaken.
> 
> Ich nutze den Opera. Mit F12 kann ich ja das Javascript deaktivieren. Ist das jetzt das, was im Brwoser diese Lücke macht?


*Javascript ist nicht Java. *

Javascript ist was komplett anderes und hat mit Java nichts zu tun (außer das Java in dem Namen vorkommt). Javascript kannst du ohne Probleme an lassen. Da passiert nix.

Hier ein paar Infos wie man Java deaktiviert
http://www.heise.de/newsticker/meldung/BSI-warnt-vor-hochkritischer-Java-Luecke-1677249.html


----------



## Niza (29. August 2012)

*AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)*

"..Die Java-Sicherheitslücke wird in mehreren europäischen Ländern,  darunter auch in Deutschland, mithilfe von kompromittierten  Werbebannern, die auch auf seriösen Webseiten geschaltet sein können,  aktiv zur Infektion von Rechnern ausgenutzt..."

https://www.bsi.bund.de/ContentBSI/...nid=C0CA81C89D5D2915A13415728F903B02.2_cid294

Na Super.
Also auch seriöse Internet Seiten können betroffen sein weil es in den Werbebannern sein kann

Also am besten Java deaktivieren wenn mans nicht unbedingt braucht.



TempestX1 schrieb:


> ..
> Hier ein paar Infos wie man Java deaktiviert
> BSI warnt vor hochkritischer Java-Lücke | heise online


 
Habe ich auch übernommen und muss mich wieder Bedanken

Mfg:
Niza


----------



## Huax (29. August 2012)

*AW: Schwere Sicherheitslücke in Jave 7 (BSI rät Plug In zu deaktivieren)*

Ich werd einfach mal auf mein Glück vertrauen und es anlassen.


----------



## Spiczek (29. August 2012)

*AW: Schwere Sicherheitslücke in Jave 7 (BSI rät Plug In zu deaktivieren)*

Ich bedanke mich ebenfalls für die Infos.


----------



## Spinal (29. August 2012)

*AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)*



Spiczek schrieb:


> Ich muss da jetzt nochmal nachhaken.
> 
> Ich nutze den Opera. Mit F12 kann ich ja das Javascript deaktivieren. Ist das jetzt das, was im Brwoser diese Lücke macht?



Wie schon geschrieben wurde, ist das nicht dasselbe. JavaScript wird sehr viel verwendet, fast auf jeder dynamischen Websites (zb. die Autovervollständigung).  
Java wird auf der Clientseite eigentlich kaum eingesetzt. Java Applets, welche das brauchten, gab es früher öfter mal.

bye
Spinal


----------



## Kredar (30. August 2012)

*AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)*

Und Update 7 der Java Version 7 schliesst diese Lücke, das heute erschienen ist.

Quelle 1

Quelle 2

mfg


----------



## Niza (31. August 2012)

*AW: Schwere Sicherheitslücke in Jave 7 (Plug in Deaktivieren)*

Ist doch mal schön das sie so schnell reagiert haben 
Danke für den Beitrag

Mfg
Niza


----------



## Kredar (1. September 2012)

*AW: Schwere Sicherheitslücke in Java 7 (BSI rät, Plug-In zu deaktivieren)*

Wenn sie auf so etwas nicht reagieren würden, dann wäre es wirklich an der Zeit das Java Plugin zu deaktivieren. Aber mal abwarten bis die nächste Lücke gefunden wird, ob Oracle dann auch so schnell patcht. Ich hoffe es doch sehr.

mfg


----------



## m-o-m-o (3. September 2012)

*AW: Schwere Sicherheitslücke in Java 7 (BSI rät, Plug-In zu deaktivieren)*

Die waren alles andere als schnell, die haben schon seit April von der Lücke gewusst. Oracle gehört zu den miesesten IT Vereinen die man in Bezug auf Sicherheit aufzählen kann.

Wenn ich kein Minecraft auf dem PC hätte, hätte ich Java nicht auf dem Rechner.  Nur unsicher und Bloatware aus der Sicht des Anwenders, aus der Sicht des Entwicklers komfortabel zu einem hohen (Performance)-Preis.


----------

