Frage zum JAVA-Plugin
 

Hey,

habe hierzuforum gelesen, dass: http://www.trojaner-board.de/122961-...tml#post902538 wegen Sicherheitslücken
(betrifft alle Java 7 ... Versionen) bei allen Browserntypen deaktiviert werden sollte!

Gilt das zurzeit immer noch?

Gruss Simplex

:hallo:

ja!

Das naechste Update gibts wohl erst im Februar, trotz bekannter Sicherheitsluecken.

Aber das Java Plug-In wird sowieso kaum irgendwo benoetigt.

@ Simplex: Danke für den Hinweis.
Meines Wissens gilt diese strikte Empfehlung nun nicht mehr, wobei man natürlich was man nicht braucht, auch nicht aktivieren sollte.

Aktuell ist "heute" Version 7 Update 9 - diese Version sollte so oder so dringenst eingespielt werden, wer die 32-Bit und die 64-Bit-Version hat, muss beide aktualisieren (auch bei 64-Bit-Betriebssystemen ist in der Regel - wenn vorhanden - die 32-Bit-Java-Laufzeitumgebung installiert, manchmal auch zusätzlich die 64-Bit-Version).

@ t'john: woher beziehst du diese Informationen?

hier nachzulesen: Stürmischer Oktober-Patchday bei Oracle | heise Security

Daher denke ich sollte man das Java-PlugIn nur onDemand einschalten.

Danke t'john.
Allerdings lese ich nirgends, dass es sich um eine öffentlich bekannte Lücke handelt oder um die Lücke, weshalb die "obige" Warnung ausgesprochen wurde oder gar um eine bereits ausgenutzte Lücke handelt. Deshalb gehe ich da vom Gegenteil aus. Schließlich wurde diese jetzt noch offene Lücke - so kritisch sie im Endeffekt ist - auch erst "vor kurzem" (als dieser Patch schon quasi fertig war) an Oracle gemeldet. Und unveröffentlichte, nicht ausgenutzte, aber den Herstellen bekannte sehr kritische Sicherheitslücken gibt es "überall". (Also bitte PC aus. :crazy:)
Deshalb gilt hier wie ganz allgemein (und eigentlich selbstverständlich!) was ich oben geschrieben habe "was man nicht braucht, (man) auch nicht aktivieren sollte". Und auch natürlich dein Satz: "sollte man das Java-PlugIn nur onDemand einschalten".
Ich lese aber wie gesagt nirgends, dass diese jetzt noch wohl vorhandene Lücke ausgenutzt oder auch nur halbwegs bekannt wäre (außer Oracle und Herrn Gowdiak).

Ich denke ein Schritt weiter ;)

Vielleicht hatte t'john diese Zeilen im Kopf. Gruß harlud
Nachtrag: und diese ZeilenOK. das war eine frühere Schwachstelle.

nö, in deinem letzten artikel gehts um
CVE-2012-4681
die ist geschlossen mit java 7u7
die oben genannte lücke wird von keinem der großen exploit packs genutzt, hab auch noch von keinem fall gehört.
man sollte sich eh nicht nur an java fest beißen, es gibt noch einiges mehr, was updates benötigt, adobe produkte, quick time und was es da sonst noch so gibt,
da in exploit packs meist bereits geschlossene lücken ausgenutzt werden, fährt man mit ner vernünftigen update strategie schon sehr gut, zum surfen kann man dann ja noch sandboxie nutzen.

Hallo Markus!
Zu Sandboxie hatte ich mich bisher noch nicht aufgerafft. Nach Deiner erneuten Empfehlung hab ich es jetzt installiert. Es lässt sich erstaunlich leicht handeln. Man kann sogar die Java-Plugins im Browser in Sandboxie aktivieren. Wenn man dann im selben Browser ohne Sandboxie nachschaut, blieben sie dort deaktiviert. sehr schön. Außerdem prüft das Antivirenprogramm offenbar auch alle Aktivitäten innerhalb Sandboxie (getestet mit Eicar). M.a.W.: Bei Alarm des Backgroundscanners ist das System noch clean, was ohne Sandboxie nicht immer sein muss.
Gruß harlud

hi, um sandboxie noch ein wenig einzuschrenken:
Sandbox Einstellungen |
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
je nach dem welchen browser du nutzt:
iexplore.exe (internet explorer)
opera.exe( opera)
chrome.exe (chrome)
firefox.exe
plugin-container.exe
(firefox)
unter sandboxie control, sandbox menü, box name, einstellungen
anwendungen, webbrowser, dort die freigaben für den verwendeten browser setzen, außer, gesammter profil ordner.
so kann man zb lesezeichen die man innerhalb der sandbox hinzugefügt hatt, auch außerhalb verfügbar machen, ist für manche, praktischer.
aber desweiteren schrenken wir die sandbox so ein, das nur von uns gewollte dateien, webbrowser, dort speichern, jede website, der es zb gelingt eine exe in der sandbox abzulegen, die dann starten soll, guckt dann in die röhre, und man wird als nutzer auch benachichtigt, und könnte diese exe dann prinzipiell auch starten lassen, sollte man natürlich nicht :-)
die kaufversion hat noch einige andere nette features, wie zb den erzwungenen programm start, heißt, ausgewähltes programm startet immer in der sandbox, wenn es denn dort eingetragen ist.
kosten, einmalig 30 €, also nen fairer preis, zumal lizenz auf allen eigenen pcs eingesetzt werden darf.

Hallo,

ich habe mal eine Frage zum Java- Plugin, es geht zwar nicht darum es zu deaktivieren wollte bezüglich meiner Frage keinen extra Thread eröffnen.

Auf meinem Rechner ist außer Java noch ein Plugin installiert was sich Java FX 2.1.1 nennt, wollte mal fragen für was das gut ist oder ob man das nicht benötigt und deinstallieren kann?

JavaFX ist auch von Oracle, gehört zu der Java-Laufzeitumgebung (im Sinne von: wird mit ihr ausgeliefert/installiert) bzw. erweitert sie für sogenannte RIAs => Rich Internet Applications, ist also in etwa als Konkurrenz zu Adobe Flash (Player), Flex und AIR, Microsoft Silverlight und weiterem.
Brauchen? Braucht man AIR, Silverlight?
Man weiß nie, auf was man im Web trifft, aber man braucht deshalb nicht alles.

JavaFX bei Oracle (nach unten scrollen) => Erfahren Sie mehr über die Java-Technologie

JavaFX bei Wikipedia, Rich Internet Applications (RIA) bei Wikipedia

Nochmal an dieser Stelle: http://www.trojaner-board.de/129291-...a-version.html

Unbedingt http://www.trojaner-board.de/122961-...ktivieren.html

Und so geht das für alle Browser zentral:

Wie deaktiviere ich Java in meinem Webbrowser?

Ich hatte mich Ende 2012 mal durch Java mit zwei Trojaner (TR/Inject.ewqf.1 und TR/Necrurs.J) infiziert. Nun surfe ich ohne JAVA und benötige es nicht.

Im Übrigen sind die o.g. Trojaner sehr gefährlich habe darum mein System inkl. MBR neu aufgesetzt.

Aktuell wird neben JAVA auch noch vor Adobe Produkte gewarnt, diese sollen zumindest aktuell gehalten werden. Vorsicht von dem automatischen Updater dieser kann auch Missbraucht werden.

Ich betreibe Vorsorge und surfe nun mit der Avast Sandbox :daumenhoc haben Java abgeschafft, halte Adobe penibel aktuell und empfange E-Mails ohne html Ansicht, verwende Outlook mit Spamfilter von Avast. Habe Avira abgeschafft und nutze vortan Avast Internet Security.

So das ist meine PC Verhütung :taenzer:

Manche Software braucht halt Java. Bsp. TV-Browser als Fernsehzeitschrift, die diebische Elster für die Steuererklärung. Generell hast du Recht, ohne ist es sicherer. Geht halt nicht immer.

Dann kann ich nur empfehlen installieren und arbeiten und löschen :heilig:

....oder sofort wieder deaktivieren, das erspart die wiederholte Installation!

Zur Info: Mozilla hat für seinen Browser https://addons.cdn.mozilla.net/media....png?b=ee05917 'Fire Fox Version 18.0' das Java Plugin 7 update 10 gesperrt.

Obwohl Java Add-ons bei mir seit 10/2012 immer deaktiviert waren.

Es kommt bei anfänglich automatisch deaktiviertem Java-Plugin "nur" eine graue Warntafel "wollen sie wirklich?".
Dies ist aber auch deutlich besser, als eine bevormundende, ungefragte Sperre. Bei ein paar ganz kurzen Kurztests hat dies aber bei mir nicht immer zuverlässig funktioniert, mit Java 7u9 hat es mit einem Versuch nicht funktioniert (Java ist automatisch gestartet) mit Java 6u37 aber schon.

Java 7 Update 11 ist draußen
Download von Java für Windows

Mal sehen, wie lange es diesmal hält :lach:
7u13 Download von Java für Windows

Willst du wetten? :D

Ich bin weder Brite noch Ami, also wette ich nicht :kaffee:
Aber ich würde die Zeit nicht wirklich sehr hoch ansetzen, wenn ich wetten müsste.

Da kannst du ruhig wetten. Die Antwort ist so sicher wie ein Sechser im Lotto bei sechs vorgegebenen Zahlen: Gestern.

Heute kam eine spannende Repo auf Arte über die dunklen Seiten des Internets. Da gibt es einen Progammierer der Schadware nur auf Java programiert und diese ausschliesslich in blackboards verkauft. Von dieser Erkenntnis würde ich sagen, Java ist und bleibt immer eine einzige Sicherheitslücke.

Habe es nicht gesehen, kann also dazu nichts aussagen.
JK
Nicht nur das Fernsehen wird (nicht nur) für jedes lohnende Ziel (Software) Typen finden, die (sagen) nur für bzw. gegen diese Software Malware zu suchen, zu finden und zu schreiben.
Viele Jäger sind des Hasen Tod, aber auch Jäger sind faul, wird's zu schwierig, wird einfach der nächste Hase gejagt, nur Ahab bliebe bei seinem Ziel

Und auf Java programmieren sagt nun gar nichts aus. Wenn jetzt einer sagen würde, er programmiere Malware nur auf C oder C++, würdest du dann alles was mit C oder C++ geschrieben wurde verdammen?

C und C++ programierte Mal- und Schadware gibt es auch genug und auch diese ist gefährlich. Aber Java ist eben so brisant das sich diese Schadware so simpel übertragen lässt....denke ich zumindest.

Wen es interessiert hier der Beitrag: hxxp://videos.arte.tv/de/videos/in-den-faengen-der-internet-mafia--7291192.html

Nur zur Info: Heute wollte ich im Browser "Mozilla Ff 18.0.2" mit Google Maps einen Standort suchen und die Streckenführung
von meinem Wohnort mit [Route berechnen] abschätzen.

Ging nicht da ich JAVA für alle Browser im Java Control Panel deaktiviert hatte (Haken war bei "Java Content im Browser" entfernt
....und bleibt es auch).

Nun, ich kenne jetzt aber wenigstens ein Programm wozu Java benötigt wird!

elster finanzsoftware benötigt es wohl auch.

Mag sein ....nur bei meiner Steuererklärung nutze ich erfolgreich die Online Formulare (PDF) von ELSTER (Elektronische Steuererklärung)
die vom Bundesministerium der Finanzen im Web. vorgegeben werden.

Und für diese benötigt man kein Java!

Wenn man ernsthaft :kaffee: und vielseitig mit dem PC arbeitet, wird man viele Anwendungen finden, die Java brauchen. Übrigens auch wenn man nicht ganz so ernsthaft am PC arbeitet - nur die Spielefraktion scheint davon unbeleckt zu sein :blabla:
Manchmal gibt es Alternativen, manchmal nicht.

Minecraft, sämtliche von Daedalic produzierte Software, läuft alles mit JAVA soweit ich weiss....

Kann man das Java eigentlich mit Ausnahmen bestücken? Das heisst man gibt nur Dienste oder Programme vor bei welchem dies ausgeführt werden darf?

Haupteinfallstor sind manipulierteWebseiten, die Lücken im Java Browser Plugin ausnutzen. Deaktiviere das Plugin im Browser und du hast ein Rieseneinfallstor weniger, du kannst auch NoScript verwenden, das deaktiviert alle aktiven Inhalte wie Java, JavaScript und Flash aber verhindert auch XSS - nur wenn du es selbst anklickst/erlaubst wird NoScript sowas wie Java erlauben. Dennoch Java immer schön aktuell halten.

hi,
die deaktivierung bringt dir aber nichts, also die von Java, wenn die andern Plugins nicht aktuell sind, denn Malware wir häufig über exploit packs verteilt, wenn nicht Java angreifbar ist, ists dann evtl. ein Plugin von adobe, oder was man sonst so instaliert hatt.

Deswegen deaktiviert man ja nicht nur das Java-Plugin :p
Man könnte auch auf so einen Schnickschnack wie PDF-Browser-Plugin verzichten und wenn es einer sein muss dann schon mal garnicht das Teil von Adobe
Und naja, Flash ist hoffentlich bald Geschichte :pfui:

Ich fürchte ganz allgemein, dass wir dies noch lange Träumen werden müssen. :pfeiff:

Seit wann bist du denn so pessimistisch? ;)

Hallo @cosinus hab vor ner Zeit mal NoScript probiert....das ding geht ja garnicht etweder fehlten Sachen (Anzeigen) oder die Seiten laden nicht richtig, dann muss man jedesmal die Freigabe geben.

Nach meiner Einschätzung ist NoScript fürs surfen nicht geeignet. Allenfalls fürs besuchen fragwürdiger Webseiten kann ich es empfehlen ^^

Ich komm mit NoScritp wunderbar zurecht :)

Also mich hat es echt genervt...will mir sowas nicht antun ^^

Dann muss man sich aber nicht über ständig buntblinkende Seiten wundern beim wilden Rumsurfen :pfeiff:

thx für diese Hilfestellung.