siehe auch Forum: Software!
Umfrage dazu

Man kann sich nur mehr Viren etc für den Mac wünschen. Wie schnell doch plötzlich bei Apple auf Lücken reagiert wird. So soll es sein.

zwobot
Etwas ungewöhnliche Sichtweise, findest Du nicht?

Bereits im Februar 2012 gab es das Java Update von Oracle und erst die kürzlich von Apple gelieferten Java Updates zogen das Java Update nach und erst jetzt reagiert Apple mit einem Trojaner Entfernungstool.

Also ich finde das jetzt eher eine sehr träge Reaktionsweise. Aber gut das überhaupt was passiert.

Hier kann man den zeitlichen Verlauf nachlesen:

scrambler: Du meinst sicher diesen Thread?

Gibt es dann eine Art "Scan-Funktion"? Eine Meldung über Infektion?

Habe das Update über die Aktualisierung geladen, doch absolut nix is passiert!

Apple Mailinglist security-announce: APPLE-SA-2012-04-12-1 Java for OS X 2012-003 and Java for Mac OS X 10.6 Update 8

Apple support document HT5247: About the security content of Java for OS X 2012-003 and Java for Mac OS X 10.6 Update 8 :

Okay danke dir!

Hallo zusammen,

ich hatte bis vor kurzem kein Java und musste es wegen Elster-Online installieren. Hab vorher Java nicht gebraucht und würde es gerne wieder deinstallieren (nicht nur die Häkchen rausmachen) - nur wie geht das?

Hab schon gegoogelt und hier gesucht, aber nichts verwertbares gefunden.

shotekitehi:

Das wirst Du nicht so einfach machen können, weil sich Apples Java bislang tief ins System eingenistet hat und über mehrere Systemverzeichnisse verstreut ist. Zudem gibt es keine offizielle Deinstallations-Routine von Apple dazu, die Dir die Installation rückgängig macht.

Allerdings wird das alles ab Java 7 und Java 8 (beide derzeit noch in der Aufbau- und Testphase und nur als Community- und Developer Previews erhältlich), welche auf OpenJDK/Oracle basieren, anders, da installiert sich das alles in einem .jdk-Bundle in /Library/Java/JavaVirtualMaschines und kann ganz einfach per Drag&Drop in den Papierkorb befördert werden (habe bei mir auf diese Weise neben Apples eigenem Java derzeit noch 6 weitere Java7- und Java8-JDKs von OpenJDK/Oracle parallel installiert -- alle per Drag & Drop). Aber das nutzt Dir ja jetzt, betreffende Deinem jetzigen, tief verwurzelten, Apple-Java 6 noch nichts.

Tipp:
Lass' es drauf. Wenn es Dich beruhigt, in Deinem Lieblings-Web-Browser das Häkchen bei Java wegmachen oder generell für alle bei Dir installieren Browser geltend in den Java-Einstellungen (/Applications/Utilities/Java-Einstellungen) das Häkchen wegmachen bei "Applet-Plug-Ins und Web-Start-Programme aktivieren" (seit dem gestrigen Java-Update Java for OS X 2012-003 and Java for Mac OS X 10.6 Update 8 von Apple sowieso bereits automatisch geschehen).

Und wenn Du für irgendeine Anwendung wieder Java im Web-Browser brauchst, aktivierst Du es dafür wieder an einer oder beiden der genannten beiden Stellen.

Na zum Glück läuft bei mir 10.5.8.
Da brauche ich mir keine Sorgen über diese Fresh Back Toraner machen....oder wie heissen die nochmal?

Kein Java. Kein Update. Kein Problem!

Bart S.Das ist übrigens ein gefährlicher Irrtum!

Bart S.:

Wie Hannes Gnad schon sagte, unterliegst Du einem gefährlichen Irrtum. Denn gerade Du mit Deiner Leopard-Installtion solltest/müsstest Dir eigentlich am allermeisten Sorgen derzeit machen. Denn für Dich bzw. für MacOSX 10.5.x hält Apple leider bisher KEIN Java-Update bereit und auch KEIN Malware Removal Tool! Und auch XProtect hast Du nicht, denn das gibt's erst seit Snow Leopard.
Gerade Dein Leopard-Rechner ist schon allein diese 3 Punkte betreffend (und andere Security-Löcher ebenso betreffend) am Ungeschützesten und am ehesten anfällig für die gerade kursierende Malware (und deshalb auch am ehesten anfällig, Teil diese existierenden Botnetzes zu sein), möglicherweise hast Du sie Dir, wie viele andere Nutzer übrigens auch, schon längst eingefangen, ohne es zu merken (via Drive-By-Download ).

Der Beitrag von Bart S. dürfte Ironie gewesen sein, natürlich stehen alle Nutzer mit älteren Systemen im Regen. Aber das ist bei Apple ja nichts neues.

Was ich an dem Update bedenklicher finde ist, dass es nur die häufigsten Varianten erkennt und entfernt. Das ist dann wie mit Antibiotika, einen Großteil kann man abtöten, aber der Rest, der übrig bleibt, legt dann erst richtig los. Vielleicht kümmert sich ja Apple in 3 Monaten um die heute weniger verbreiteten Varianten.

Alle wird man wohl nie erwischen.

Ich frage mich ob das neue Sicherheitssystem in OS 10.8 so was verhindern kann.

WWDC 2001:

Steve Jobs präsentiert OS X als "die beste JAVA-Plattform überhaupt und aller Zeiten"

2005:

Mit dem Release von OS X "Tiger" wird die Weiter-Entwicklung der Java VM für OS X seitens Apple eingestellt, die letzte von Apple bereitgestellte JAVA-Version für OS X "Tiger" bleibt JAVA 1.5. Ein 2007 als "JAVA Release 6 for Mac OS X 10.4" veröffentlichtes Update entpuppt sich als Missverständnis oder auch Werbe-Gag

2009:

Mit dem Erscheinen von Os X "Leopard" stellt Apple auch offiziell die Weiter-Entwicklung von JAVA ein. Der Apple-CEO Steve Jobs begründet dies damit, daß ja SUN bzw. Oracle JAVA zur Verfügung stellen und die Releases von Apple ohnehin immer um eine Version hinterherhinken. Er ergänzt: "This may not be the best way to do it"

2011:

Ein wichtiges, von Oracle zur Verfügung gestelltes Sicherheitsupdate für JAVA wird von Apple zwar für die beiden letzten Versionen von OS X an Entwickler zum Test verteilt, aber nicht an die Anwender ausgerollt. Alle früheren versionen von OS X werden von Apple gemäss der Firmenpolitik nicht mehr mit Updates versorgt.

April 2012:

Aufgrund einer Sicherheitslücke in JAVA, die für alle anderen Plattformen durch das o.a. Sicherheitsupdate behoben wurde enwickelt sich ein OS X-Botnetz mit schätzungsweise 500.000 - 600.000 infizierten Rechnern. Eine Woche später schiebt Apple ein Update nach, welches eventuell noch vorhandene JAVA-Installationen auf OS X mehr oder weniger deaktiviert (was auch immer das bedeutet) und "die am häufigsten vorkommenden Varianten" der Malware entfernen soll (was auch immer das bedeutet) . Auch dieses Update stellt Apple nur für die beiden letzten Versionen von OS X zur Verfügung, frühere versionen werden von Apple gemäss der Firmenpolitik nicht mehr mit Updates versorgt.

Danke sierkb - saubere Antwort, so werde ich es machen. Danke noch mal.

klapauzius: Du hast völlig ausgelassen, dass Lion standardmäßig überhaupt kein Java installiert hat.
Im Grunde hat der normale Nutzer das Viren-Problem gar nicht, wenn er nicht irgendwann einmal Java installiert hat.

Na siehste, dann ist das doch der Beweis: Es kann das Botnetz gar nicht geben, weil auf OS X ja gar kein JAVA installiert ist. Gleich mal MacMark anpingen, dann kann der das auf seine Facebook-Pinnwad posten.

Flash ist böse.
Java ist böse.
Was kommt als nächstes?

klapauzius, nd70:
Aus genau dieser Historie heraus hat Apple das Thema Java auch vor ca. zwei Jahren schon komplett neu aufgestellt, ab Java SE 7 wird das Früchte tragen:

http://openjdk.java.net/projects/macosx-port/

Macs sind böse!
Arbeiten ist böse!
Konsumieren auf dem iPad ist gut!

OpenJDK ?

Ja dann weiss ich wirklich nicht, wo jetzt das Problem sein soll. Flugs einen git- oder svn-Client installiert, sich die Quellen gezogen (die paar hundert MB...), rin in's Terminal, dann

./configure
make
.... das dauert jetzt ein bisserl .....
make install

Undschon habt Ihr ein blitzeblankes top-aktuelles, hoch-sicheres JAVA ! Falls zwischen make und make install irgendwelche kryptischen Fehlermeldungen kommen - Kollege Gnad hilft sicher gerne weiter.

It's so easy - it just works !

klapauzius:

Offizielle Anleitung und Hilfe dazu gibt es u.a. hier:

Oracle Wiki: Mac OS X Port

Beziehungsweise hier:

Google Code: openjdk-osx-build
Build scripts and packages for OpenJDK 7 and 8 under OS/X Snow and Lion OpenJDK 7 and 8 for OS/X Snow and Lion , , ,

Apple's Java-Verantwortlicher Mike Swingler verweist auf Apples java-dev Mailingliste und auf der openjdk-dev Mailingliste die Entwickler teilweise selber auf diese beiden Möglichkeiten, falls sie irgendwas Spezielles aktivieren wollen oder es für eine Architektur haben wollen, die in den offiziellen Builds deaktiviert sind.

Oder, wer's nicht selber kompilieren will, lädt sich bequemerweise dann die fertigen Builds als Disk Images (.dmg) runter, die er nur noch öffnen und dann per Drag & Drop in den dafür vorgesehenen Ordner manövrieren muss. Entweder von Oracle hier: . Oder von hier: (jene Builds, auf denen dann auch kurze Zeit später die offiziellen Oracle Builds basieren).

nd70
Samba ist auch böse.

Mensch sierkb, genau so stelle ich mir das bei einem Premium-betriebssystem von Apple vor. Komisch nur, dass Apple selber das nicht hinkriegt. Naja, die sind ja gerade so knapp bei Kasse, da ist für sowas natürlich kein Geld mehr da. Aber dafür sind die Produkte dann ja auch echte Schnäppchen !

It's so easy, it just works.

Amazing !

Ja doch Hannes, sierkb und tifonex
Ich habe das nicht im Ernst gemeint.
Ernst ist, daß ich 10.5.8 am laufen habe.
Bin aber nicht so schreckhaft, wie ihr.
Dangerfreak....you know?

Bart S.:

Aber vielleicht sollten wir ja jetzt ein wenig vor Dir und Deinem 10.5.8-System Angst haben, dass es, ohne dass Du es bisher mitbekommen hast, evtl. infiziert worden ist per Drive-By-Download? Und damit unfreiwillig zum Zombie-Rechner und Teil dieses Botnetzes geworden ist, vor welchem dann wiederum andere Macs und Mac-Besitzer sich in acht nehmen sollten?
Dein ~/Library/LaunchAgents-Verzeichnis ist tatsächlich sauber? Da ist nicht zufällig seit Neuestem eine Datei für launchd, die da eigentlich nicht hingehört? Und Dein Heimatverzeichnis ~/ ist ebenfalls sauber, und auch da befindet sich keine Datei und auch keine versteckte Datei mit einem Punkt (.), die da auch nicht hingehört? Schon mal überprüft (meinetwegen per Hand und mit einem Blick in die betreffenden Verzeichnisse via Terminal, denn im Finder siehst Du's in dem einen Fall nicht) und 100% sichergegangen, dass Du bislang wirklich und noch verschont geblieben bist?

Wenn Du's bisher noch nicht überprüft und sichergestellt hast, dann würde ich das an Deiner Stelle mal neugierigerweise machen. Wenigstens um das eigene Gewissen zu beruhigen (und uns als potentielle Opfer übrigens auch!).
Und das dann auch in nächster Zeit ab und zu mal wiederholen.

klapauzius:

Passend zu Deinem Gesagten ist hier grad' in diesen Minuten folgende email von einem Oracle-Verantwortlichen (@oracle.com email-Adresse) in Apples java-dev-Mailingliste aufgeschlagen (ist noch ganz heiß und nur wenige Minuten alt): .