Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Variante "K" des Flashback-Trojaners nutzt eine von Apple nicht geschlossene Java-Lücke in OS X

Die Hacker des Flashback-Trojaners entwickeln laut einem aktuellen Bericht von F-Secure die Schadsoftware für Mac-Anwender stetig weiter. So ist am vergangenen Wochenende eine neue Variante "K" aufgetaucht, die eine von Apple noch nicht geschlossene Sicherheitslücke im Java-System ausnutzt, um sich in OS X einzunisten und den Angreifern so letztendlich den Zugriff auf Computer und Daten zu ermöglichen. Wie üblich gibt sich der Flashback-Trojaner als Installationspaket des Flash Players aus, um so das Vertrauen des Anwenders zu gewinnen. Bei der Installation wird schließlich für die Angreifer eine Hintertür in Safari eingerichtet. Die Nutzung der Java-Lücke ist hierbei naheliegend, da diese in einschlägigen Kreisen gut dokumentiert ist und laut Microsoft in zahlreichen Fällen auch bereits aktiv ausgenutzt wird.

Apples Sicherheitspolitik erscheint in diesem Fall in keinem guten Licht, da die Java-Lücke von Oracle bereits im Februar behoben wurde, Apple laut Entwicklerkreisen aber bis heute die Sicherheitsaktualisierung für Mac-Anwender zurückhalten soll. So nutzen Mac-Anwender weiterhin die veraltete Java-Version 1.6 Update 29 vom vergangenen Oktober, während auf anderen Plattformen seit Februar bereits Java-Version 1.6 Update 31 zur Verfügung steht. Mac-Anwender können sich momentan nur vor der Java-Lücke schützen, indem sie Java ausschalten und lediglich bei Bedarf vorübergehend wieder einschalten. Hierfür stehen im Dienstprogramme-Ordner die Java-Einstellungen zur Verfügung, wo auch verschiedene andere Sicherheitseinstellungen vorgenommen werden können.

Weiterführende Links:

Kommentare

erko03.04.12 10:04
Wenn ich in Java-Einstellungen unter Allgemein beide Java SE 6-Boxen abwähle, dann läuft Java nicht mehr auf meinem Rechner und ich bin sicher? Ist das richtig? Bitte um Bestätigung. Danke.
0
scrambler
scrambler03.04.12 10:12
Java ist hier seit Wochen abgeschaltet.

Ich brauch es nicht! Wer braucht es und wozu ?

0
zod198803.04.12 10:16
Java einfach gar nicht erst installiert, ab Lion ist es nicht mehr bei OS X dabei, sondern wird bei Bedarf nachgeladen.
0
timp
timp03.04.12 10:20
Wie kann man eine Infizierung feststellen und beseitigen?
Never argue with an idiot. He'll bring you down to his level and then beats you with experience.
0
Bulldog03.04.12 10:44
Kann ich Java nicht selbst updaten auf OSX?
0
tk69
tk6903.04.12 10:50
Sch.... Auf JAVA. Wer brauch das?
0
ExMacRabbitPro03.04.12 10:51
Mac-Anwender können sich momentan nur vor der Java-Lücke schützen, indem sie Java ausschalten und lediglich bei Bedarf vorübergehend wieder einschalten.

Oder einfach keinen Flash-Installer aus dubiosen (= nicht Adobe) Quellen ausführen!!!! Diesen (nach meiner Meinung wichtigsten Tipp) gibt der Artikel leider nicht.
0
ratti
ratti03.04.12 11:01
Klar, Apple schiesst Java sturmreif, und deswegen ist Scheisse: Java.

Möglicherweise brauchst DU kein Java, während Du dein MBA in Berlin-Mitte spazierenführst, in der anderen Hand einen geschrumpften Hund.

Viele Leute, die mit ihrem Rechner was echtes Arbeiten brauchen durchaus mal Java.
0
MetallSnake
MetallSnake03.04.12 11:07
Hat Apple die Entwicklung der Mac Version von Java an Sun abgegeben?
Oder verwechsel ich da jetzt was?

Bulldog
Kannst du schon, aber du brauchst eben die entsprechende Mac Version die es nicht gibt.
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
Hannes Gnad
Hannes Gnad03.04.12 11:53
ratti:
Klar, Apple schiesst Java sturmreif, und deswegen ist Scheisse: Java.
Bisher hat Apple seine Java-Releases in Eigenregie portiert und angepaßt, und war deshalb immer hinterher. Schon seit längerer Zeit hat Apple das Thema komplett neu aufgestellt, und Angestellte von Apple wirken beim OpenJDK-Projekt mit, was zu besseren und gleichzeitigen Releases führt bzw. führen wird ab Java 7:

http://openjdk.java.net/projects/macosx-port/

Für diese aktuelle Lücke wird in absehbarer Zeit wieder bzw. noch ein übliches Java-Release (Java SE 6 1.6.0_31) von Apple kommen...
0
doschni03.04.12 12:20
Ich brauch Java häufig mit dem JDownloader. Super Tool.
0
sierkb03.04.12 13:19
und laut Microsoft in zahlreichen Fällen auch bereits aktiv ausgenutzt wird.

Nicht nur Microsoft warnt davor und sagt das. Auch der unverdächtige Sicherheitsexperte Brian Krebs sagt das. Und letztlich, und viel wichtiger, Oracle selber sagt das und warnt davor und fordert die Benutzer auf, die eigene Java-Installation schleunigst upzudaten wegen in freier Wildbahn kursierenden und nun schon mehrfach gesichteten Exploits!

An Apple: Hallo Apple! Hörst Du? Schieb' endlich für alle Nutzer eine Java-Aktualisierung per Softwareaktualisierung nach (ja, genau die, die bei Dir schon seit mehreren Wochen in der ADC-Pipeline für Entwickler zum Testen bereitsteht!), Benutzer anderer Betriebssysteme bekommen sie schon längst angeboten!
0
tix
tix03.04.12 13:19
Ich arbeite mit dem iMac 2.1 PowerPC G5 auf Leopard 10.5.8 und bin soweit zufrieden.

Aber mich stört zunehmend, dass die Möglichkeit, die Apps und Java usw. upzudaten, immer mehr zu einer umfangreichen Suche im Internet ausarten, und was Java-Updates betrifft, Fehlanzeige.
0
Tuco03.04.12 13:24
Vielleicht sollte Apple einfach Mal ein paar zusätzliche Programmierer einstellen.
Am Geld kann es ja nicht liegen ...
0
nd7003.04.12 14:50
"Wenn man keine Ahnung (von Java) hat: Einfach mal Fresse halten"

(frei nach Dieter Nuhr)
0
Hannes Gnad
Hannes Gnad03.04.12 15:29
tix: Für 10.5.8 kommen schon lange keine Updates mehr, auch für Java nicht.

sierkb: Wie getippt, Apple arbeitet an einem entsprechenden Release.
0
sierkb03.04.12 16:04
Hannes Gnad:

Wie getippt. Ich weiß das. Deshalb sage ich es ja. Es gibt es schon längst. Seit Monaten (genaugenommen seit 22.12.2011 in Form des Updates auf das für Macs immer noch ausstehende Java Update auf Version 1.6.0_30 und seit den 15. Februar in Bezug auf das Java-Update auf die aktuelle Version 1.6.0_31, in der diese hier diskutierte Lücke gefixt ist). Und bzgl. dieser aktuellen Lücke: seit Wochen (seit 15. Februar). Nur wird's noch nicht ausgeliefert. Mal wieder lässt sich Apple mit sowas Zeit. Und solange haben die Mac-Anwender ein diesbzgl. ungepatches Java, währenddessen da draußen Exploits rumschwirren, vor denen selbst Oracle dringlichst warnt und ein Java-Update dringlichst ans Herz legt.
Seit 15. Februar hat Apple dieses Update auf 1.6.0_31 inklusive Fix in seiner ADC-Pipeline, und Entwickler können es testen! Mittlerweile haben wir den 03. April. Windows-, Linux- und Solaris-Nutzer haben dieses Java-Update auf 1.6.0_31 bereits bzw. können es sich jederzeit herunterladen und installieren bzw. die Auto-Update-Funktion von Java spült es ihnen auf den Rechner oder hat es ihnen gespült. Mac-Anwedner schauen derweil noch in die Röhre und sitzen auf einem ungepatchten Java. Weil Apple so lange braucht bzw. sich so lange mit sowas Zeit lässt.

Darum geht's, Hannes. Comprende?

Mit Java 1.7 von OpenJDK und Oracle wird sich das Gott sei Dank ändern. Das bekommt einen Autoupdater auf Basis von Andy Matuschaks sehr verbreitetem Sparkle .
0
tix
tix03.04.12 16:10

Hannes Gnad
tix: Für 10.5.8 kommen schon lange keine Updates mehr, auch für Java nicht.

Mit dem Betriebssystem Leo 10.5.8 bin ich ja "soweit zufrieden", wie ich bereits geschrieben hab.

Es geht, wie gesagt, vermehrt um die Apps, die nicht mehr so häufig wie in den letzten Jahren als Universal Bineries upgedatet werden, sondern nur noch für Intel-Prozessoren und fertig, weil wurscht.

Wenn der PPC-iMac weiterhin so gut arbeitet wie jetzt, dann wechsle ich einfach zu einem der Linux-Betriebssysteme, welches auch für PPCs geschrieben wird und gepflegt wird …

Dann stimmts auch wieder mit einer aktuellen Java-Version! Apple ade.
0
sierkb03.04.12 16:15
Hannes Gnad:

Nachtrag:
Mit und ab Java 1.7 (Java 7) und erst recht ab Java 1.8 (Java von OpenJDK und Oracles darauf basierender Version wird sich das Gott sei Dank ändern bzw. hat sich schon teilweise geändert. Das bekommt, neben dem bereits realisierten Drag & Drop in den "/Library/Java/JavaVirtualMachines"-Ordner und bzgl. dem AppStore dann pro App erlaubten (nein: empfohlenen!) eigenen App-internen JREs einen eigenen Autoupdater höchstwahrscheinlich auf Basis von Andy Matuschaks sehr verbreitetem Sparkle .

Mac OS X Port Project Status:
0
o.wunder
o.wunder03.04.12 16:22
Es ist ein Trauerspiel wie träge Apple mit Sicherheitslücken umgeht. In diesem Punkt ist Microsoft weiter.
0
sierkb03.04.12 16:25
tix:

OpenJDK Builds nehmen bzw. selber compilieren. Offiziell werden die zwar nur noch als Intel-Builds angeboten und davon inzwischen nur noch als reine 64bit-Builds (das Thema ist noch nicht abschließend ausdiskutiert, weil es im Java-Entwickler-Lager teilweise erheblichen Widerstand mit berechtigten Begründungen gibt gegen eine 64bit-only-Java VM, die wollen und brauchen für bestimmte ressourcenschonende Anwendungen teilweise ganz bewusst 32bit statt 64bit, weil 64bit mehr Speicher braucht), aber es bleibt Dir unbenommen, sie Dir selber zu kompilieren und zu bauen (Bauanleitung dazu findest Du hier ). Von den Build-Skripten her wäre/ist auch ein PPC-Java bzw. 32-bit bzw. 32bit/64bit-Universal Binary Java möglich. Sogar Mike Swingler, Apples Java-Verantwortlicher, ermuntert dazu, sich ein solches Java dann ggf. selber zu bauen, sollte der Bedarf bestehen. Offiziell wird's aber in Zukunft wol nur noch Intel-only bzw. x86_64-Builds geben, das letzte Wort ist da allerdings noch nicht endgültig gesprochen (es könnte z.B. sein, dass die OpenJDK-Builds Intel 64bit bleiben, Oracle aber aus Tradition zu Apple und aufgrund zu großer Proteste weiterhin und vorübergehend 32bit/64bit-Pakete anbieten wird. Im Moment bieten OpenJDK wie auch Oracle Intel 64bit-only, also x86_64 an. Mal sehen, ob's so bleibt). Wer was anderes braucht und haben will, muss es sich halt selber bauen oder bauen lassen. Aber es ginge.
0
ratti
ratti03.04.12 17:14
> Bisher hat Apple seine Java-Releases in Eigenregie portiert und angepaßt

…und das gilt ab Lion. Nicht für die Vorgänger.

Ergo:

- Für SL und drunter hat Apple verpennt, es selbst in Ordnung zu bringen

- Für L hat Apple verpennt, es in den Updater zu packen, ganz abgesehen davon, dass Java auch unter L über ebendiesen Softwareupdater installiert wurde und Apple gefälligst zu pflegen hat, was sie anbieten. Java kommt vom Apple-Server.

Mich kotzt das an.
0
Hannes Gnad
Hannes Gnad03.04.12 19:18
ratti:
…und das gilt ab Lion. Nicht für die Vorgänger.
Das gilt für 10.6 wie 10.7 gleich, in Bezug auf Java SE 6,entsprechend werden für 10.6 und 10.7 die 1.6.0_31-Releases von Apple wie Softwareaktualisierung kommen. Ab Java 7, siehe Sierks Ausführungen, kommt das dann woanders her. Laut setzt Java SE 7 mindestens 10.7 voraus.
0
exappleboy
exappleboy03.04.12 19:44
Wie kann ich feststellen ob mein Mac infiziert ist?
0
sierkb03.04.12 19:47
Hannes Gnad:
Ab Java 7 (..), kommt das dann woanders her.

Und weiterhin hilft Apple dann hinter den Kulissen mit durch eigene Code-Beiträge und Code-Reviews udn Bereitstellung von Informationen und evtl. notwendigen Bibliotheken etc. pp, dass es auf der Mac-Plattform eine gute und runde Sache wird. Der Rahmen, in dem das alels geschieht, ist halt jetzt größer geworden, da arbeiten nun die OpenJDK-Community (der u.a. auch Oracle, Apple und auch IBM angehören) und die beiden wichtigen Protagonisten Oracle und Apple halt Hand in Hand zusammen. Und genau diese große Zusammenarbeit und dieses Hand-in-Hand ist in diesem Umfang zumindest halt neu -- erst recht die Mac-Plattform betreffend.
0
tix
tix03.04.12 21:08
sierkb

ja, danke für die informativen Tipps und den Link zum "Basteln" mit OpenJDKs.

Nur weiss ich noch nicht so recht, ob ich lieber protestieren soll oder basteln oder beides, was die immer mehr um sich greifende PowerPC-User-Ignoranz unter den Programmiern angeht?
0
Hannes Gnad
Hannes Gnad03.04.12 21:18
tix: Man kann Entwicklern, die eine Hardwareplattform nicht mehr unterstützen, die vor fast sieben Jahren abgekündigt wurde und seit rund sechs Jahren nicht mehr gebaut wird, nicht "Ignoranz" vorwerfen.

Man kann eher fragen, warum jemand, der sich mit aktueller Software anlegen möchte, mit so altem Gerät des Weges kommt...
0
chessboard
chessboard03.04.12 22:23
Apple hat ein Update von Java SE 6 auf 1.6.0_31 bereitgestellt. Kann per Softwareaktualisierung bezogen werden.
0
Marcel_75@work
Marcel_75@work03.04.12 22:31
Tja, hätte Java auch gern komplett weg gelassen bzw. wenn schon installiert, dann deaktiviert, aber:

1. Adobe CS 5.5 benötigt Java bei der Installation von Photoshop 12.1 …

2. Symantec Endpoint Protection benötigt Java für die Installation (und unter anderem für den LiveUpdater) …

3. Juniper Network Connect (VPN Client von Juniper Networks) benötigt Java …

und und und

PS: Update ist raus (Java für OS X 2012-001 - Das Java für OS X 2012-001-Update 1 erhöht die Kompatibilität, Sicherheit und Verlässlichkeit durch die Aktualisierung von Java SE 6 auf 1.6.0_31.

Schließen Sie vor der Installation dieses Updates alle Webbrowser und Java-Programme.

Weitere Informationen zum Sicherheitsinhalt dieses Updates erhalten Sie unter .

Weitere Informationen zum Sicherheitsinhalt dieses Updates erhalten Sie unter .
0
ratti
ratti03.04.12 22:39
> …und das gilt ab Lion. Nicht für die Vorgänger.

Tippfehler meinerseits, korrekt: „Das gilt BIS Lion“.

Der weitere Text ist inhaltlich aber korrekt. Ob nun Lion oder vor-Lion: Java kommt, egal wie Apple das organisatorisch handhabt, von Apple und auch per Apple-Softwareupdate. Apple hat statt Java ein Java-Einspieltool in Lion eingebaut.

Ergo ist Apple auch verantwortlich für ein sicheres Java. Entweder hat Apple es direkt geliefert oder als Download. Niemand von uns ist auf java.com gegangen und hat es dort heruntergeladen.
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.