Viren, Spyware, Datenschutz 11.242 Themen, 94.693 Beiträge

News: Elster verlangt Java

Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern

Michael Nickles / 62 Antworten / Flachansicht Nickles

Die Pannenserie bei Oracles Java reißt nicht ab. Erst vor rund einer Woche wurde die Version 7 Update 15 ausgeliefert, die auf der Download-Seite  www.java.com/de/download auch weiterhin angeboten wird - ohne besondere Hinweise auf Risiken.

Tatsache ist leider, dass sich auch diese neue Version längst als Griff ins Klo entpuppt hat. Das Sicherheitsunternehmen Security Explorations hat in der aktuellen Version zwei Sicherheitslücken entdeckt und diese Oracle mitgeteilt und "Beweiscode" geliefert. Oracle untersucht die Sache derzeit.

Michael Nickles meint:

Es ist nicht mehr lustig, was sich da abspielt. Oracle scheint dieses Java einfach nicht in den Griff zu kriegen. Und das hat ist leider kein Gimmick, weil diese permanenten Java-Sicherheitslücken zunehmend ausgenutzt werden, bevor Oracle sie stopfen kann.

Unter anderem Zdnet hat berichtet, dass Java-Schwachstellen jüngst für die Cyberattacken auf Apple, Facebook und Microsoft genutzt wurden. Aktuell hat man eigentlich nur eine einzige Chance sich von dem Java-Wahnsinn zu befreien: es im Browser explizit ausschalten.

Das geht bei jedem Browser leider unterschiedlich, ist bei den "Plug-In/Addon"-Einstellungen verbuddelt. Laien haben da eigentlich verloren - aber die kriegen die Existenz solcher Sicherheitsbomben in ihrem Rechner sowieso gar nicht mit.

Noch schlimmer: viele sind sogar dazu gezwungen Java zu verwenden, können es gar nicht abschalten. Seit 2005 sind beispielsweise alle steuerpflichtigen Arbeitgeber und Unternehmer gesetzlich dazu verpflichtet, Lohnsteuer-, Umsatzsteuer- und Lohnbescheinigungsmeldungen über das Elster-Meldeverfahren durchzuführen:

Auf der Elsteronline-Webseite werden die Anforderungen für den Betrieb der Software aufgelistet. An erster Stelle steht "Java".

 

Deutsche Unternehmer sind also staatlich dazu verpflichtet eine Software zu verwenden, die nur auf einer extrem sicherheitsanfälligen Umgebung läuft. Das macht nachdenklich. Zwar gibt es alternative Elster-Software, aber auch die braucht für die Übermittlung das Java-Zeugs. Elster ohne Java geht also nicht, wie auch hier im Elsterforum erklärt.

Es ist schon eine saublöde Situation. Auch Mittelstandswiki hat Anfang Januar berichtet, dass der Elster-Zwang für Unternehmen zunehmend ein Fall für die IT-Abteilungen werde. Pervers: auch das staatliche Bundesamt für Sicherheit in der Informationstechnik warnt längst ausdrücklich vor der Java-Laufzeitumgebung.

bei Antwort benachrichtigen
Ich denke nein. Laut ... mawe2
gelöscht_189916 IRON67 „Ahso. Na da darf man ja gespannt sein, welche Lücken da ...“
Optionen

Hallo

Ahso. Na da darf man ja gespannt sein, welche Lücken da noch schlummern...

Die Versionsbezeichnung kannst Du jetzt nicht 1:1 übernehmen, da OpenJDK und das normale JDK von Oracle zwei Paar Schuhe sind. Gleiche Version bedeutet also in diesem Fall nicht automatisch gleicher Entwicklungsstand, Updates gibt es für das OpenJDK trotzdem, auch wenn sich die Versionsnummer nicht ändert (ein Auszug aus der letzten Systemaktualisierung bei mir):

Vorbereiten zum Ersetzen von openjdk-6-jdk 6b27-1.12.1-2ubuntu0.10.04.2 (durch .../openjdk-6-jdk_6b27-1.12.3-0ubuntu1~10.04_i386.deb)

OpenJava empfiehlt grundsätzlich die Version 7, die 6 wird wohl aus Kompatibilitätsgründen parallel dazu noch weitergepflegt.

http://openjdk.java.net/projects/jdk6/

Zitat daraus:

"Since then, all three trains, 6 update, OpenJDK 7, and OpenJDK 6, have continued evolving, with certain fixes being applied to or ported between the releases. Security fixes are applied to all release trains."

Da einige Lücken in Oracles Java sehr wahrscheinlich im proprietären Teil des Codes liegen dürften, ist das OpenJDK in diesem Fall gar nicht betroffen davon, denn dort wurde dieser Code ja zwangsweise entfernt.

fakiauso
bei Antwort benachrichtigen