Der Thread zu aktuellen Sicherheitsbedrohungen

[Gala]

Java derzeit absolut komplett unsicher.

Damit ist Java derzeit in etwa gleichzusetzen damit, direkt irgendwelche Programme aus dem Netz zu laden und auszuführen.

Betrifft mich nicht, da ich Java 100% der Zeit abgeschaltet habe. Kenne auch keine einzige Seite, die noch Java benötigt. Ergo kann mans eigentlich sowieso komplett vergessen, der einzige Sinn und Zweck von Java sind zusätzliche Sicherheitslöcher.

 

[Vernochan]

Es gibt zwar durchaus mehr Anwendungsbereiche, aber ja, im Browser hat Java quasi nix zu suchen. Noch weniger als Flash

 

[Sir Darian]

Hmmm... *grübel*

Danke für den Hinweis, Gala!

Ich fand den Hinweis sogar so wichtig, dass ich ihn in ein eigenes Topic in der Taverne verschoben habe.

 

[Caesar]

Verno hat zwar recht, dass Java im Browser völlig wertlos ist, aber der Beitrag ist 2 Wochen alt. Wer immer brav seine Software aktuell hält, ist nicht deutlich mehr gefährdet als sonst auch....

 

[Firehawk]

Das ist bei der aktuellen Java-Version allerdings etwas anderes. Selbst mit dem letzten Update ist man noch angreifbar: http://www.heise.de/newsticker/meld...-in-aktueller-Version-angreifbar-1697435.html

der einzige Sinn und Zweck von Java sind zusätzliche Sicherheitslöcher

Ob Java im Browser eingesetzt werden sollte oder nicht, darüber kann man noch streiten. Aber die Aussage ist mal wieder geistiger Abfall.

 

[Sir Darian]

Hmmm... *grübel*

Aber die Aussage ist mal wieder geistiger Abfall.

Das ist eine recht destruktive Formulierung. Sie sollte für unser Forum untypisch bleiben. Lasst uns bitte nicht auf das Niveau anderer Foren im Internet absinken, was den Umgangston anbelangt.
Klar, Galas Aussage ist in dem Fall sehr Schwarz-Weiß-malerisch, aber Kritik an der Aussage kann man auch anders ausdrücken.
Darum bitte ich Euch mit Nachdruck.

Zurück zum Thema:

Aus aktuellem Anlass möchte ich dieses Thema zu einem Sammeltopic für Hinweise auf aktuelle Sicherheitslücken machen.
Nicht nur Java fällt gerade negativ auf, auch Browser, Software und Betriebssysteme sind immer wieder für Sicherheitslücken gut.

Hier könnt Ihr Eure Forenmitkollegen darauf aufmerksam machen, so dass sich jeder über bestehende Probleme informieren kann, der vielleicht nicht ganz so viel Fachliteratur über PC Sicherheit oder Newsseiten zum Thema liest, wie Ihr Profis.
Gerne gesehen sind auch Hinweise, wie man besagte Probleme absichern kann. Ob Ihr dafür auf andere Seiten verlinkt oder selbst eine Anleitung verfasst, bleibt natürlich Euch überlassen.

Ich möchte heute auf eine aktuelle Lücke im Internet Explorer aufmerksam machen:

Microsoft und BSI warnen vor IE-Nutzung
Artikel auf Heise.de

Bundesamt für Sicherheit in der Informationstechnik warnt vor dem Internet Explorer
Artikel aus Caschys Blog

 

[Rote Zora]

Auch eine Frage zu Java: auf meinem neuen Win7 Dienstrechner produziert Java bei *jedem* Hochfahren eine Sicherheitsmeldung, dass eine gesicherte Verbindung mit Serverauthentifizierung aufgebaut werden soll, dass aber dem Zertifikat der ausstellenden Stelle nicht getraut werden sollte. Was soll das? Java brauche ich für OO, und ich vermute (auch wenn ich mir den ZertPfad anzeigen lasse) dass das sone Art Update-Server von Java ist, aber die sich den selbst zertifiziert haben - oder so.
Nur: dann kann das rein theoretisch doch auch ein Virus sein, der sich als Java ausgibt, und ich muss Java also von Hand aktualisieren und die Meldung immer mit NEIN beantworten oder wie oder was?

ZORA

 

[Veldryn]

Hm, ich hatte so eine Sicherheitsabfrage noch nie und bei mir wird Java auch automatisch aktualisiert.
Ich würde mal versuchen, Java zu deinstallieren, zu gucken ob das immer noch auftritt - und dann neu runterzuladen von der offiziellen Seite und neu zu installieren. Wenn diese Frage dann wieder auftaucht, dürftest du sie getrost mit "ja" beantworten können...

 

[Vitalex]

Ich hatte die Meldung auch, nachdem ich neulich Java geupdatet hatte, in der Hoffnung, damit sei die Sicherheitlücke behoben. Habe sie dann mit 'Ja, zulassen' beantwortet und seitdem Ruhe. Hatte das Update direkt von der Java Homepage heruntergeladen, so gesehen gehe ich mal davon aus, dass die Datei an sich virenfrei sein sollte.

 

[Asmodan]

Ich hatte das auch (kam bei jeder Updateanfrage die im Hintergrund lief) und habe mal nach einer Lösung gesucht und da stand dann das es vielleicht dadurch kommt das man Java 32 auf einem 64 Bit System installiert hat, was bei mir zutraf. Ich konnte aber nicht Testen ob es durch die 64 Bit Version wirklich weg geht weil ich Java zurzeit deinstalliert habe um zu gucken inwieweit ich das wirklich brauche.

 

[Rote Zora]

Hm, hab JAVA mal per Hand aktualisiert, bin auf FF gewechselt, soweit also erstmal safe, aber

Meine Flash Aktualisierung klappt auch nicht, jedes Mal kommt: Initialisierung fehlgeschlagen. Habe nach Tipp des Anbieters mal die alter Version entfernt, bislang die selbe Soße. Werde mal rebooten, und sehen, ob's dann klappt...

Also die nervige JAVA Abfrage kam jetzt nicht, Flash ist nach wie vor nicht installierbar, weil die Initialisierung scheitert. Dabei wurden Browser und BS von der InstallationsHP durchaus richtig erkannt.

ZORA

 

[Sir Darian]

Hmmm... *grübel*

Vorsicht an alle, die Skype unter Windows nutzen:

Skype verbreitet momentan einen Trojaner
Quelle: Caschys Blog

 

[Vexator]

Links zu einer präparierten Seite, über den man sich den Trojaner holen soll -klingt jetzt eher nach nem Browserproblem.

 

[Vernochan]

Ja,aber da der Link per Skype verbreitet wird (und sich auch in Skype "einklinkt") macht es schon Sinn das vor allem an Skypeuser zu adressieren.

 

[Vexator]

Schon klar. Es wird darauf hingewiesen, dass auch vermeintlich sichere Quellen (hier: bekannte Kontakte bei Skype) benutzt werden, um Leute auf Seiten zu locken.
Und darauf, dass man nicht auf dubiose Links klicken sollte, egal aus welcher Quelle, kann man auch nicht oft genug aufmerksam machen. Und manchmal gibt es da ja wirklich Sachen, die täuschend echt aussehen.

Von daher wäre das wirklich Interessante, welche Sicherheitslücke hier ausgenutzt wird, denn Skypespam ist sicherlich noch eine relativ harmlose Alternative zu dem, was man sich sonst fangen könnte

 

[Vexator]

Neue Java Version: http://java.com/en/download/index.jsp
http://www.heise.de/newsticker/meldung/Stuermischer-Oktober-Patchday-bei-Oracle-1730692.html

 

[Sir Darian]

Hmmm... *grübel*

Angreifer können über das Steam Protokoll Schadcode auf ein System bringen:
Sicherheitsrisiko Steam

Steam steht mit dem Problem nicht alleine da, auch Ubisofts DRM ist angreifbar:
Ubisoft-DRM öffnet Backdoor

Quelle: Heise.de

 

[Sir Darian]

Hmmm... *grübel*

Gerade gelesen: Java- und Flash-Updates: Nutzer lassen sich Zeit

Aus dem Artikel zitiert:

Ein Vergleich (...) legt offen, dass Oracles und Adobes Update-Agenten die Nutzer nicht gut genug zu Updates animieren.

Meine Erfahrungen sind ähnlich: Mir scheint, dass die Firmen nicht intensiv genug auf Updates hinweisen, also durch wirklich unübersehbare Fenster oder dergleichen.
Des weiteren werden die Update Meldungen meiner Meinung nach auch nicht zeitnah genug angezeigt. Wenn mal der Flash Player ein Update meldet, lese ich im Internet häufig, dass die neue Version bereits seit sechs Tagen (mal so als Beispiel) heraussen ist.

Aber die Frage, die ich mir letztendlich stelle:

Warum werden Windows Programme denn nicht still und automatisch aktualisiert, wenn eine neue Version erschienen ist, so wie es beim Firefox mittlerweile in den Einstellungen optional angeboten wird? Wenn man da die gewünschten Einstellungen tätigt, dann aktualisiert der Firefox sich selbst und seine Erweiterungen im Hintergrund ganz automatisch, ohne dass man davon etwas mitbekommt.

Sollte bei sicherheitsrelevanten Programmen sowas nicht Standard sein?
Was meint Ihr dazu?

 

[Aires]

Nein!

Was für den kleinen Heimanwender zwar unheimlich praktisch und logisch klingt, kann bei Firmen ganz schnell ein Schuss ins Knie werden.
Gerade grössere Firmen haben oft (meistens ) eine unheimlich heterogene IT-Landschaft, in der Tools von uralt bis ganz neu eingesetzt sind, was sich auch oft nicht (oder nur sehr schwer) ändern lässt.
Ein Update - gerade von übergreifenden "Technologien", wie z.B. Java, Flash, etc. bedeutet da jedes Mal ein genaues Abwägen (verbunden mit viiieeel Testerei) von potentiellem Nutzen (mehr Sicherheit) gegen die negativen Auswirkungen (wie viele Applikationen fliegen mir nach dem Update um die Ohren und wie geschäftsrelevant sind diese).
Ein automatischer Update könnte da ganz schnell mal bedeuten, dass z.B. plötzlich die Fertigung steht, und das macht der Firma dann ganz böse aua.

 

[Caesar]

Linux kann das *scnr*. Warum das Bei Windows anders ist weiß ich nicht, dass Firmen alte Java Versionen einsetzen müssen ist für die firmen evt ziemlich tragisch, wenn sie dann dadurch ausspioniert werden oder so (), ich löse das Problem, dass Windows ca 45678543278 Programme hat die man per Hand aktuell halten muss mit http://ninite.com/
Dass es das gibt ist ja wahrscheinlich schon allen bekannt, was mir aber relativ neu war ist, dass man es auch wunderbar als Updater benutzen kann. Einfach die Installationsdatei die man erzeugt hat behalten und immer mal wieder ausführen. Aktualisiert alle enthaltenen Programme ohne dass man irgendwas tun muss. Bei mir sinds 19, die würde ich nie per Hand aktuell halten.
Und man kann das bestimmt irgendwie in den autostart packen, dann passiert es sogar jedes mal. Als ich gerade klickte wurde der Flash Player aktualisiert und ich hab von dem Update bisher nirgends gehört.....