Viren, Spyware, Datenschutz 11.250 Themen, 94.777 Beiträge

News: Und den Dreck sollen wir bezahlen?

Java-Exploit: 12 Virenschutzprogramme haben peinlich versagt

Michael Nickles / 36 Antworten / Baumansicht Nickles

Am Montag wurde bekannt, dass es bei der Java-Version 7 eine hochkritische Sicherheitslücke gibt. Sämtliche Java-Browser-Plugins sind betroffen, beim Besuch einer bösartigen Webseite kann schädlicher Code eingeschleust werden (siehe Aktuelle Sicherheitslücke im Java-Plugin für Browser).


Wer das aktuelle Java-Update "Version 7 Update 7" noch nicht hat, sollte es schnellstmöglich installieren: Java-Downloads für alle Betriebssysteme

Anlässlich dieses Vorfalls hat Heise beim Virus-Testlabor "AV comparatives" eine Untersuchung in Auftrag gegeben. Das Ergebnis: erbärmlich. Gerade mal 9 von 22 der gängigen Virenwächtern blockierten das gefährliche Java-Exploit.

Heise hat zwei Varianten zur Ausnutzung des Sicherheitslochs prüfen lassen. Eine Basisversion, die den Beispiel-Code des Sicherheitslochentdeckers ausprobiert (ausführen einer Windows-Anwendung) und eine erweiterte (noch fiesere), die eine ausführbare Datei via Internet nachlädt.

Nur 9 der Schutzprogramme waren in der Lage, beide Angriffe abzuwehren: Avast Free, AVG, Avira, ESET, G Data, Kaspersky, PC Tools, Sophos und Symantec. Komplett versagt haben die anderen 12: AhnLab, Bitdefender, BullGuard, eScan, F-Secure, Fortinet, GFI-Vipre, Ikarus, McAfee, Panda Cloud Antivirus, Trend Micro und Webroot). Wenigstens die Basisversion stoppen konnte Microsofts kostenlose Schutzlösung "Security Essentials".

Heise weist ausdrücklich darauf hin, dass die Untersuchung nur eine Momentaufnahme vom 30. August um 13 Uhr ist.

Zu diesem Zeitpunkt waren das Sicherheitsloch und die Methode, wie es ausgenutzt wird, allerdings schon ein paar Tage bekannt. Oracle hat das Sicherheitsloch am Donnerstagabend mit der Java-Version 7 Update 7 geflickt.

Michael Nickles meint:

Was bleibt ist eine höchstpeinliche Nummer. Lesenswert dazu ist auch der Bericht Oracle und Microsoft blamieren sich bei Reaktion auf Java-Lücke von Heise. Daraus geht hervor, dass Oracle die Sicherheitslücke angeblich bereits vier Monate kannte. Dennoch wurde die höchstkritische Version schamlos ohne jeglichen Sicherheitshinweise weiter ausgeliefert.

Auch Microsoft konnte beim "Krisenmanagement" nicht wirklich schnell helfen. Einziger Ausweg sich zu schützen, war Java abzuschalten. Genau das war im Fall des Internet Explorers allerdings selbst für Microsoft-Experten ein Problem (siehe Hinweise zum Umgang mit der Zero-Day-Lücke in Java).

Was bleibt ist wieder mal die simple Weisheit, dass es sinnlos und fatal ist, sich auf Virenschutzlösungen zu verlassen. Am sauersten bin ich auf die Anbieter kommerzieller Schutzlösungen.

Sobald ein Loch öffentlich bekannt ist, dann ist es denen ihr verdammter Job SOFORT zu reagieren und nicht erst eine "halbe Woche" später. Dafür werden diese "Versager" schließlich bezahlt.

bei Antwort benachrichtigen
wapjoe Michael Nickles „Java-Exploit: 12 Virenschutzprogramme haben peinlich versagt“
Optionen

Beim Java Update muss man auch aufpassen, dass man sich nicht noch mit der Ask-Toolbar "infiziert", wenigstens hat man bei Java noch die Wahl, anders als bei Nero Essentials etc...

Was auch nicht okay ist, bei Java ist ein Updateintervall von 30 Tagen standard, wobei angeblich wöchentlich nach kritischen Updates gesucht wird. Im Java Control Panel >> Reiter Update/Erweitert, hab ich eben Täglich eingestellt und dann das Update manuell durchgeführt, Intervall steht wieder auf Monatlich...
Die automatischen Updates sind m.E. eh für die Katz, ich hatte bis eben noch die Version 7-5, also hat Java das Update 6 bei mir komplett übersprungen.

Gruß
wapjoe

PS: Wofür brauch ich Java überhaupt? Mir fällt kein sinniger Nutzen ein, höchsten Samsung Kies, dass muss ich mal testen.

bei Antwort benachrichtigen
IRON67 wapjoe „Beim Java Update muss man auch aufpassen, dass man sich nicht...“
Optionen
ich hatte bis eben noch die Version 7-5, also hat Java das Update 6 bei mir komplett übersprungen.

Du solltest wirklich die Automatik ignorieren und dich nur noch manuell drum kümmern. Mach ich ebenso, seit langer Zeit. Auf Software ist in keinerlei Hinsicht Verlass. Mit einer Ausnahme: Früher oder später gibts Fehler.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
wapjoe IRON67 „Du solltest wirklich die Automatik ignorieren und dich nur...“
Optionen
Du solltest wirklich die Automatik ignorieren
Ich ignoriere grad Java komplett... ;-)

Bisher hab ich kein Programm festgestellt, welches Java vermisst.

Auf Software ist in keinerlei Hinsicht Verlass.
Das ist klar...
Mit einer Ausnahme: Früher oder später gibts Fehler.
Das ist auch klar... ;-)
bei Antwort benachrichtigen
Proldi wapjoe „Ich ignoriere grad Java komplett... ;-) Bisher hab ich kein...“
Optionen
Bisher hab ich kein Programm festgestellt, welches Java vermisst.
Mir sind 2 Programme bekannt:

Mediathek (ohne nicht zu gebrauchen)
aglotze (Service wurde wohl vor wenigen Tagen beendet, aufgrund dieser Problematik?)

Mediathek habe ich gerne mal benutzt, aber ich kann auch ohne leben.
-------------- Gruß Proldi
bei Antwort benachrichtigen
i.fass Proldi „Mir sind 2 Programme bekannt: Mediathek (ohne nicht zu...“
Optionen

jDownloader

Low Orbit Ion Cannon
bei Antwort benachrichtigen
Proldi i.fass „jDownloader“
Optionen
jDownloader

Soll heißen?
-------------- Gruß Proldi
bei Antwort benachrichtigen
celsius Proldi „Soll heißen?“
Optionen

Soll vielleicht heißen, dass jDownloader Java benötigt??

bei Antwort benachrichtigen
Proldi celsius „Soll vielleicht heißen, dass jDownloader Java benötigt??“
Optionen
Soll vielleicht heißen, dass jDownloader Java benötigt??

Schon möglich, wurde aber bisher nicht geschrieben.
-------------- Gruß Proldi
bei Antwort benachrichtigen
celsius Proldi „Schon möglich, wurde aber bisher nicht geschrieben.“
Optionen

Erbsenzähler... Was meinst du, warum er das geschrieben hat? Wapjoe schrieb: "Bisher hab ich kein Programm festgestellt, welches Java vermisst" und i.fass schrieb "jDownloader". Da könnte man durchaus auf die Idee kommen, dass jDownloader Java benötigt. Was er ja auch wirklich tut.

bei Antwort benachrichtigen
Proldi celsius „Erbsenzähler... Was meinst du, warum er das geschrieben hat?...“
Optionen
Erbsenzähler
dito, bin ja ein netter Mensch!

"Bisher hab ich kein Programm festgestellt, welches Java vermisst" und i.fass schrieb "jDownloader".
So ist es, aber direkt nach meiner Antwort. Somit musste ich das wohl auf mich beziehen, oder?
Und mir war es nicht klar, was diese Antwort bedeuten soll. Ich hatte ggf. an eine Alternative zur
 Mediathek gedacht. Der "jdownloader" war mir nicht bekannt.

Wo ist jetzt Dein Problem?
-------------- Gruß Proldi
bei Antwort benachrichtigen
torsten40 Proldi „Mir sind 2 Programme bekannt: Mediathek (ohne nicht zu...“
Optionen

aGlotze funzt bei mir einwandfrei.
Hat allerdings grad ein Update gemacht.
Vielleicht ma die neuste Version ziehen.
http://aglotze.tk/

Freigeist
bei Antwort benachrichtigen
Proldi torsten40 „aGlotze funzt bei mir einwandfrei. Hat allerdings grad ein...“
Optionen
Vielleicht ma die neuste Version ziehen. http://aglotze.tk/

Also, bei meiner bisherigen Version wurde mir angezeigt, das aglotze nicht weiter betrieben wird und kein weiterer Service stattfindet.

Ich habe mir jetzt die von Dir genannte Version angesehen, aber bei der Installation meckert mein Virenprogramm (Avast, neuester Stand).

M.E. musste die alte Version auch nicht installiert werden, sondern war einfach selbststartend. Setzte allerdings auf Java auf, wie soll es zu dieser schnellen Änderung kommen?

Ich bin etwas verwirrt ............
-------------- Gruß Proldi
bei Antwort benachrichtigen
wapjoe Proldi „Mir sind 2 Programme bekannt: Mediathek (ohne nicht zu...“
Optionen

Die Programme hab ich bisher nicht genutzt, zurzeit komme ich ohne Java gut zurecht. Aber ob das so bleibt wird sich noch zeigen... ;-)

bei Antwort benachrichtigen
torsten40 wapjoe „Die Programme hab ich bisher nicht genutzt, zurzeit komme ich...“
Optionen

Meiner bescheidenen Meinung nach, ist Java ein essentielles Bestandteil vom Betriebssystem (egal welches)! Ebenso der Flash Player!

Freigeist
bei Antwort benachrichtigen
wapjoe torsten40 „Meiner bescheidenen Meinung nach, ist Java ein essentielles...“
Optionen

Hi Torsten,

ist Java ein essentielles Bestandteil vom Betriebssystem (egal welches)! Ebenso der Flash Player!
Wenn das so ist, warum muss man die dann nachträglich runterladen und installieren?
Das der Flash Player (noch) für einige Webcontent benötigt wird und man ohne kaum eine Seite ansehen kann, weiß ich, aber wozu wird Java auf nem Desktoprechner benötigt? Für div. Handy's sind die Apps in Java programmiert, ich meine bei Symbian ist das so und es gibt vielleicht vereinzelte Anwendungen im Desktopbereich, die auf Java basieren, aber von denen konnte ich heute zumindest noch keine auf meinem Rechner finden.

Ich bin kein Programmierer, daher frage ich mich ob man Desktopanwendungen überhaupt in Java programmieren muss? Es gibt doch genug andere Programmiersprachen, die vielleicht nicht so viele Sicherheitslücken immer und immer wieder aufs neue erzeugt.

Wie auch immer, zum Betrieb von Windows ist Java nicht von nöten, daher teste ich es weiterhin ohne Java.

Gruß
wapjoe
bei Antwort benachrichtigen
torsten40 wapjoe „Hi Torsten, Wenn das so ist, warum muss man die dann...“
Optionen

Man benötigt es nicht jeden Tag, dass ist richtig, aber irgendwann braucht man es.
Ich z.B brauche es für div. Apps, bzw den Symbianemulator und dem jDownloader.

Nungut, muss auch jeder für sich entscheiden, aber irgendwann installierste es wieder ;)

Torsten

Freigeist
bei Antwort benachrichtigen
wapjoe torsten40 „Man benötigt es nicht jeden Tag, dass ist richtig, aber...“
Optionen

Eine Anwendung hab ich jetzt gefunden, wollte die DLNA-Funktion meines Smartphones testen, geht nur mit Java, also ist die Software wieder runter.
Sollte ich wirklich was wichtiges finden, was nicht läuft, dann schaun mer ma'... ;-)

Gruß
wapjoe

bei Antwort benachrichtigen
juppes1 wapjoe „Ich ignoriere grad Java komplett... ;-) Bisher hab ich kein...“
Optionen

Bei etlichen Städte-Live-Cams (Welweit) benötigt man ebenfalls Java, ansonsten bleibt das Bild schwarz.

bei Antwort benachrichtigen
celsius wapjoe „Ich ignoriere grad Java komplett... ;-) Bisher hab ich kein...“
Optionen
Bisher hab ich kein Programm festgestellt, welches Java vermisst.
Ganz klar: eclipse. Cool
bei Antwort benachrichtigen
wapjoe celsius „Ganz klar: eclipse.“
Optionen
Ganz klar: eclipse
Und was ist das? Bin grad zu faul Onkel Google zu fragen... ;-)
bei Antwort benachrichtigen
torsten40 Michael Nickles „Java-Exploit: 12 Virenschutzprogramme haben peinlich versagt“
Optionen

Mal sehen wann der AJAX Keylogger etwas bekannter wird (alt genug isser ja)
Ob dann auch alle eine php - Paranoia entwickeln?

Java war schon zu SUN Zeiten löchrig, und Oracle hat dadran auch nichts geändert.

Freigeist
bei Antwort benachrichtigen
IRON67 Michael Nickles „Java-Exploit: 12 Virenschutzprogramme haben peinlich versagt“
Optionen
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
torsten40 IRON67 „Gleich die nächste Lücke in 7 U 7...weils so schön...“
Optionen

Was anderes erwartet?
Jeder neue Version hat ihre Lücken. So war es, und so wird es bleiben...

Freigeist
bei Antwort benachrichtigen
IRON67 torsten40 „Was anderes erwartet? Jeder neue Version hat ihre Lücken. So...“
Optionen
Was anderes erwartet?
Nö. Ich wollts nur erwähnt haben.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
torsten40 IRON67 „Nö. Ich wollts nur erwähnt haben.“
Optionen

Oracle Java ist im Thema Sicherheitslücken in letzter Zeit etwas in Vergessenheit geraten, dennoch waren immer welche vorhanden! Diese Lücken wurde auch immer ausgenutzt, auch ohne medienwirksam aufzufallen.

Grade bei Flash und Java, die von Anfang an immer Sicherheitslücken hatten, hat sich in all den Jahren nichts geändert! Die Programmierer/der Hersteller sind garnicht intressiert an Lösungen. Die hauen immer wieder ein unfertiges Produkt auf dem Markt, um zu suggerieren, man benötigt zwingend diese Software, und muss diese Aktuell halten.

Irgendwie muss man in den News bleiben, um Kohle zu scheffeln, koste es was es wolle.

Webbasierende Anwendungen bergen halt immer ein Risiko.

Torsten

Freigeist
bei Antwort benachrichtigen
IRON67 torsten40 „Oracle Java ist im Thema Sicherheitslücken in letzter Zeit...“
Optionen
Irgendwie muss man in den News bleiben, um Kohle zu scheffeln, koste es was es wolle.
Ähem...dir ist aber schon klar, dass das etwas absurd klingt angesichts der Situation?
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
schuerhaken Michael Nickles „Java-Exploit: 12 Virenschutzprogramme haben peinlich versagt“
Optionen

Was bitte macht "aGLOTZE" genau?
Und wieso bezieht man ein Programm aus "Tokelau"?
.tk ist die offizielle Domain-Endung (ccTLD) von Tokelau.

Und die Schuhe zieht ja wohl aus:
"... Polish security firm Security Explorations has sent an advisory,
with a proof-of-concept exploit, to Oracle today (Friday 31 AUG)
specific to a vulnerability they discovered in the Java 7 security
update released Thursday. ..."
(http://isc.sans.edu/diary/Not+so+fast+Java+7+Update+7+critical+vulnerability+discovered+in+less+than+24+hours/14017)

Es sieht ganz so aus, dass die Untergrund-Programmierer mehr auf
dem Kasten haben als die "professionellen" Coder in den Höhlen
der Platzhirsche.

Java ist ja stolz darauf, in "Millionen" von Anwendungen z.B. auch
für die Steuerung und Überwachung von Automobilen zu hocken.
Mein Auto (14 Jahre alt aber hochmodern mit Einspritzung, Airbags,
FB-ZV, Hub-/Schiebedach, Vollautomatik etc.) hat kein JAVA.
Ich Glücklicher!!!
bei Antwort benachrichtigen
torsten40 schuerhaken „Was bitte macht "aGLOTZE" genau? Und wieso bezieht man ein...“
Optionen

aGlotze ist eine Linksammlung von TV Streams. Lass dich von der *.tk TDL nicht abschrecken.

Freigeist
bei Antwort benachrichtigen
schuerhaken torsten40 „aGlotze ist eine Linksammlung von TV Streams. Lass dich von...“
Optionen
Tokelau – neuseeländische Inselgruppe (drei Atolle: Atafu, Nukunonu, Fakaofu), 500 km nördlich der Samoainseln, kleiner als meine Heimatstadt Essen a.d. Ruhr, 1.500 Einwohner
bei Antwort benachrichtigen
torsten40 schuerhaken „Tokelau neuseeländische Inselgruppe (drei Atolle: Atafu,...“
Optionen
Freigeist
bei Antwort benachrichtigen
celsius schuerhaken „Tokelau neuseeländische Inselgruppe (drei Atolle: Atafu,...“
Optionen

Und VIVA nutzt sogar die TLD .tv - Tuvalu :)

bei Antwort benachrichtigen
celsius schuerhaken „Was bitte macht "aGLOTZE" genau? Und wieso bezieht man ein...“
Optionen
Mein Auto (14 Jahre alt aber hochmodern mit Einspritzung, Airbags, FB-ZV, Hub-/Schiebedach, Vollautomatik etc.) hat kein JAVA.
Sei dir mal da nicht so sicher :D
bei Antwort benachrichtigen
schuerhaken Michael Nickles „Java-Exploit: 12 Virenschutzprogramme haben peinlich versagt“
Optionen
bei Antwort benachrichtigen
Michael Nickles schuerhaken „Hallo, Michael, hab's mal...“
Optionen

prima, thx

bei Antwort benachrichtigen
dega1 Michael Nickles „Java-Exploit: 12 Virenschutzprogramme haben peinlich versagt“
Optionen

Guten Tag allen hier, guten Tag Michael

ich bin hier zwar schon etwas länger angemeldet, habe es aber aufgrund meiner "umfangreichen" Kenntnisse nicht gewagt, etwas zu schreiben. Hier sind ja nur Profis am Werk, und da kann ich mit meiner Nullweisheit nicht mithalten.

Trotzdem: Nachdem ich mir einen "exploit" gefangen und dann eleminiert  hatte, habe ich unter FF Java abgeschaltet. Und Java ist bis jetzt noch immer abgeschaltet. Und was passiert?? Gar nichts! Nicht eine, aber auch wirklich keine site sagt mir, ich solle gefälligst JAVA installieren. Alles funktionopelt ohne Probleme.
Und wenn das so weiter geht... f.o. mit dieser Trojanerschleuse (ps: die Installation der updates bzw. Neuinstallation fand ich schon immer zu Kotzen).

Als kompletter Laie werde ich noch was  im thread Bundespolizei-Trojaner schreiben.

Tschüssi

bei Antwort benachrichtigen
Michael Nickles dega1 „Guten Tag allen hier, guten Tag Michael ich bin hier zwar...“
Optionen

Herzlich Willkommen dega1,

hier kann jeder mitreden. Und wenn Du kompletter Laie wärst, dann wärst Du vermutlich nicht hier.

Grüße,
Mike

bei Antwort benachrichtigen