Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Oracle sind Sicherheitslücken in Java 7 bereits seit April bekannt

Nachdem mehrere Schädlinge im Umlauf sind, welche sich bekannt gewordene Sicherheitslücken in Java 7 zunutze machen, um die Kontrolle über Computer und Daten zu erlangen, wurde nun bekannt, dass Oracle bereits seit Anfang April über die Sicherheitslücke informiert ist. Wie PCWorld meldet, wurde Oracle am 2. April vom Sicherheitsunternehmen Security Explorations vertraulich über insgesamt 19 kritische Sicherheitslücken in Java 7 informiert, über die Angreifer schädliche Programmanweisungen in das System einschleusen können. Laut den Sicherheitsspezialisten von Immunity nutzt die neueste Version der Hacker-Tools Blackhole daher auch schon zwei der betreffenden Sicherheitslücken aus, um einen Computer erfolgreich unter Kontrolle zu bringen. Bislang hat sich Oracle noch nicht zu dem Sicherheitsproblem geäußert. Anwendern mit Java 7 wird geraten, die Unterstützung von Java (nicht JavaScript) auszuschalten. Darüber hinaus haben einige Seiten ihre Java-Applets wie beispielsweise im Fall von Heise Security Update vorläufig stillgelegt, um Anwender nicht weiter zu gefährden.

Weiterführende Links:

Kommentare

BaziGeri061130.08.12 09:21
Seit April?! Jetzt ist es ENDE AUGUST!!!

Pennen die?!
0
Apfelbutz
Apfelbutz30.08.12 09:31
Einfach Java in den Sicherheitseinstellungen im Browser deaktivieren, wie empfohlen.
Unter Windows werden diese Exploits schon genutzt. So ein Dreck.
Kriegsmüde – das ist das dümmste von allen Worten, die die Zeit hat. Kriegsmüde sein, das heißt müde sein des Mordes, müde des Raubes, müde der Lüge, müde d ...
0
zod198830.08.12 09:43
Erinnern wir uns bitte, wie Apple gescholten wurde, weil sie Sicherheitsupdates in Java nicht zeitig nachlieferten.

Jetzt macht es Oracle selbst und es funktioniert trotzdem nicht. Kann man nur 3 Kreuze machen, wenn man den Dreck nicht braucht.
0
ExMacRabbitPro30.08.12 09:53
*lol*

Wie war das noch? wenn Apple die Java Entwicklung abgibt, dann geht das mit den sicherheits- Updates viel schneller....!

Ja ne, is klar...

Nun kann sierkb ja mal zur Abwechslung auf Oracle herum hacken....
0
Gerhard Uhlhorn30.08.12 10:23
Kann es sein, dass Apple die Sichereitslücken immer sofort geschlossen hat SOBALD SIE IHNEN VORLAGEN? Und dass Oracle die immer verschlampt hat?

(Ich glaube es zwar nicht, der Gedanke ist aber nicht ganz von der Hand zu weisen.)
0
o.wunder
o.wunder30.08.12 10:31
Erstaunlich wie langsam so große Firmen reagieren.

Normalerweise benötigt man ja kein Java und kann es ausschalten, vor allem im Browser. JavaScript hat damit ja nix zu tun, andere Technologie, nur ähnlicher Name.

Mh wenn ich NeoOffice nutze, brauch ich aber Java.
0
sierkb30.08.12 10:43
zod1988
Erinnern wir uns bitte, wie Apple gescholten wurde, weil sie Sicherheitsupdates in Java nicht zeitig nachlieferten.

Und zurecht wurde Apple gescholten!

Beim der vergangenen Flashback-Geschichte erst recht. Begründung folgt:
Jetzt macht es Oracle selbst

Weil schon bei Flashback Oracle Wochen und Monate in Verzug war. Und Apple dann noch einen draufsetzte, indem sie ihrerseits nochmal verzögerten. Anstatt asap zu liefern.

Also Schande auf Oracles und erst recht Schande auf Apples Haupt, was das vergangene Frühjahr angeht, denn Oracle hatte von den Sicherheitslücken, die zu Flashback geführt hatten, seit vergangenem Herbst gewusst und erst Anfang des Jahres Updates rausgehauen, welche Gott sei Dank noch nicht zu spät kamen, weil die kursierenden Exploits auf den anderen Plattformen noch nicht so zuschkugen. Und Apple leistete sich dann den Luxus, da dann nochmal 2 Monate ins Land gehenzulassen, anstatt Oracles nun endlich rausgegebene Updates sofort an seine Kunden weiterzugeben. Apples Developer Preview lag diesbzgl. knapp 2 Monate für die Entwickler zum Testen in Apples ADC-Dowanload-Bereich, ein zwischenzeitliches Java-Update von Oracle, erschienen im Dezember davor überging Apple sogar gänzlich und saß es aus anstatt es an die Mac-Nutzer weiterzugeben.

Und in genau dieser Zeit, die verging zwischen Oracles nun dann endlich rausgegebenem Update und dem Herumliegen dieses Updates bei Apple auf deren Developer-Server gingen die Infektionszahlen für Flashback auf der Mac-Plattform innerhalb von wenigen Wochen rasant in die Höhe.

Also gleich doppelte Verzögerung angesichts so dringenden Handlungsbedarfs, das musste nun wirklich nicht sein. Und das bei zwei Unternehmen, die diesbzgl. Hand in Hand arbeiten wollten bzw. das eigentlich zugesagt hatten.

Und weil das so war, hatte ich am 28.03. auf Apples java-dev Mailingliste einen kleinen Brandbrief geschrieben, wann Apple sich denn endlich bequemen würde, dieses nun gleich in mehrfacher Hinsicht und angesichts der sich verschärfenden Lage so dringend erwartetes und von Oracle schon seit Wochen längst bereitgestelltes Java-Update nun auch an die Apple-Kunden auszurollen, damit auch und gerade auf deren Rechnern endlich die Lücken geschlossen würden.
6 Tage später, am 03.04., kam dann endlich das lang ersehnte offizielle Update auch bei allen Mac-Nutzern an. Zufall oder nicht, ich weiß es nicht. Ist mir auch egal. Es ist jedenfalls zuviel Zeit vertrödelt wordem. Von beiden Unternehmen und erst recht von Apple, denn Apples Zeitverzug war angesichts der Situation erst recht völlig unnötig und kontraproduktiv und die Lage erst recht verschärfend.

Beim nächten darauffolgenden Java-Update klappte die Koordination auf einmal besser und äußerst vorbildhaft: beide Unternehmen veröffentlichten ihre Updates zeitgleich am selben Tag. Es geht also.

Und derzeit hinkt Apple wieder hinterher mit seinem Update für Java 6. Das ist derzeit nämlich noch auf dem Stand von Java 6 Update 33. Aktuell und von Oracle bereitgestellt ist seit Anfang August aber bereits Java 6 Update 34. Bisher nix weit und breit zu sehen, dass Apple das aufgegriffen hat, noch nichtmal im Download-Bereich für Entwickler, im ADC-Bereich liegt ein Exemplar zum Testen.

Und Mike Swingler, Apples Java-Verantwortlicher, ist grad' in Urlaub, so ich eine automatisierte email-Benachrichtigung von ihm interpretieren darf. Sprich: Apple hat noch nicht mal angefangen, das von Oracle bereitgestellte Update 34 für das auch von Apple noch supportete Java 6 für sich umzusetzen und seinen Entwicklern zum Testen vorzulegen. Dass da aber noch mindestens eines kommen wird, das hat Apples Mike Swingler jüngst auf Apples java-dev Mailingliste schon angekündigt. Unter anderem wird im Zuge dieses Updates dann /Applications/Utilities/Java-Einstellungen.app verschwinden. Weil durch Oracles Java 7 und dessen eigenen Einstellungsdialog in des Macs Systemeinstellungen obsolet geworden.

Kritik an Apples Lahmarschigkeit ist also durchaus nicht grundlos und ist berechtigt, denn deren Lahmarschigkeit nicht nur bzgl. solcher Sachen ist mittlerweile kein Geheimnis mehr und zieht sich wie ein roter Faden seit Jahren so dahin. Kritik an Oracle ist zwar auch berechtigt, was deren Schnelligkeit zu fixen angeht, doch gibt es keine Entschuldigung dafür, dass Apple das dann auch noch weiterführen und auf die Spitze treiben muss -- mit den bekannten gehabten Folgen des vergangenen März/April/Mais. Und dass es anders und deutlich positiver geht in puncto Schnelligkeit und Koordination, dass haben beide mit dem letzten gemeinsam koordinierten Java-Update ja zeigen können.
0
erko30.08.12 11:15
Seit dem Umstieg von 10.6 auf 10.8 verzichte ich ganz auf Java. Bisher fehlt mir nichts. Einzig Cyberduck wollte es haben, ist aber nun aus meinem Programmordner geflogen. FileZila ist zwar sehr rudimentär, reicht mir aber.
0
Gerhard Uhlhorn30.08.12 11:15
Na, dann ist es ja gut, dass Apple in OS X das Java deaktivieren lässt, wenn es eine Zeit lang nicht verwendet wurde.

Das führt dazu, dass die meisten Mac User das nur dann anhaben, wenn sie es auch wirklich nutzen. Und das sind halt nur wenige Nutzer.
0
sierkb30.08.12 17:52
Das wie Oracles JDK auf OpenJDK basierende IcedTea , , hat gestern gefixt , vielleicht/hoffentlich greift Oracle deren Patches auf: .

Alles andere als eine gute Vorstellung, die Oracle da grad' abliefert (). Peinlich, beschämend und nicht tolerabel.
0
tomvos
tomvos30.08.12 19:08
Gerade freigegeben: Java JRE 7 Update 7

With sufficient thrust, pigs fly just fine. However, this is not necessarily a good idea. It is hard to be sure where they are going to land, and it could be dangerous sitting under them as they fly overhead.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.