Viren, Spyware, Datenschutz 11.227 Themen, 94.383 Beiträge

News: Elster verlangt Java

Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern

Michael Nickles / 62 Antworten / Flachansicht Nickles

Die Pannenserie bei Oracles Java reißt nicht ab. Erst vor rund einer Woche wurde die Version 7 Update 15 ausgeliefert, die auf der Download-Seite  www.java.com/de/download auch weiterhin angeboten wird - ohne besondere Hinweise auf Risiken.

Tatsache ist leider, dass sich auch diese neue Version längst als Griff ins Klo entpuppt hat. Das Sicherheitsunternehmen Security Explorations hat in der aktuellen Version zwei Sicherheitslücken entdeckt und diese Oracle mitgeteilt und "Beweiscode" geliefert. Oracle untersucht die Sache derzeit.

Michael Nickles meint:

Es ist nicht mehr lustig, was sich da abspielt. Oracle scheint dieses Java einfach nicht in den Griff zu kriegen. Und das hat ist leider kein Gimmick, weil diese permanenten Java-Sicherheitslücken zunehmend ausgenutzt werden, bevor Oracle sie stopfen kann.

Unter anderem Zdnet hat berichtet, dass Java-Schwachstellen jüngst für die Cyberattacken auf Apple, Facebook und Microsoft genutzt wurden. Aktuell hat man eigentlich nur eine einzige Chance sich von dem Java-Wahnsinn zu befreien: es im Browser explizit ausschalten.

Das geht bei jedem Browser leider unterschiedlich, ist bei den "Plug-In/Addon"-Einstellungen verbuddelt. Laien haben da eigentlich verloren - aber die kriegen die Existenz solcher Sicherheitsbomben in ihrem Rechner sowieso gar nicht mit.

Noch schlimmer: viele sind sogar dazu gezwungen Java zu verwenden, können es gar nicht abschalten. Seit 2005 sind beispielsweise alle steuerpflichtigen Arbeitgeber und Unternehmer gesetzlich dazu verpflichtet, Lohnsteuer-, Umsatzsteuer- und Lohnbescheinigungsmeldungen über das Elster-Meldeverfahren durchzuführen:

Auf der Elsteronline-Webseite werden die Anforderungen für den Betrieb der Software aufgelistet. An erster Stelle steht "Java".

 

Deutsche Unternehmer sind also staatlich dazu verpflichtet eine Software zu verwenden, die nur auf einer extrem sicherheitsanfälligen Umgebung läuft. Das macht nachdenklich. Zwar gibt es alternative Elster-Software, aber auch die braucht für die Übermittlung das Java-Zeugs. Elster ohne Java geht also nicht, wie auch hier im Elsterforum erklärt.

Es ist schon eine saublöde Situation. Auch Mittelstandswiki hat Anfang Januar berichtet, dass der Elster-Zwang für Unternehmen zunehmend ein Fall für die IT-Abteilungen werde. Pervers: auch das staatliche Bundesamt für Sicherheit in der Informationstechnik warnt längst ausdrücklich vor der Java-Laufzeitumgebung.

bei Antwort benachrichtigen
Ich denke nein. Laut ... mawe2
fakiauso IRON67 „Naja...aber wirklich wissen kann man es als Endanwender ...“
Optionen

Hi

Naja...aber wirklich wissen kann man es als Endanwender nicht, oder

Das trifft ja in erster Linie Linuxanwender, denn unter den anderen Systemen wird wohl vorrangig Oracle laufen, da gilt halt weiterhin ständig updaten und Plugin abschalten. In den aktuellen Distris läuft sowieso die JDK 7, aber der Stand der Sicherheitsupdates ist bei JDK 6 und 7 identisch. Das macht dann eben die kleine Versionsnummer am Ende des Paketes, wenn es über die Paketverwaltung installiert wird. Sicherheitsupdates werden von den Distributoren zügig eingearbeitet, das liegt zwischen Stunden und wenigen Tagen, aktualisieren muß der User natürlich trotzdem selber.
So gesehen ist jede noch so aktuelle Software weiterhin "unsicher", wobei ich da unabhängig von der Versionsbezeichnung behaupte, dass OpenJDK eben weil es Open Source ist, bei Patches schneller reagiert.
Unter Oracle ist dann das Problem, das aus meiner Sicht bei Problemen im proprietären Code erst der entsprechende Inhaber verständigt werden muß, dieser paßt den Code an oder läßt anpassen, je nachdem, wie das mit Oracle vereinbart ist, der wird dann eingebaut uswusf. Das Ergebnis ist bekannt.

@BastetFurry

Und trotzdem läuft alles paletti.

Leider nicht immer. Wir nutzen für unseren Fortbildungsunterricht eine auf Java basierende Anwendung, erst von CD und inzwischen online. Bei ersterer war das praktisch nur zu nutzen, wenn es auf Platte kopiert wurde, sonst hat sich das Ding in schöner Regelmäßigkeit aufgehängt.

Bei der jetzigen Version funktioniert es wie bei Elster bislang nur mit Oracles Java, die Laufzeitanwendung per Webstart mit IcedTea geht entweder gleich in´s Nirvana oder produziert eine Fehlermeldung. Die habe ich auch bereits an die Entwicklungs-Hotline gesendet und versucht, selbst durch eine speziell angepaßte Runtime hinzubiegen, aber bei meinen eher bescheidenen Programmierkenntnissen erfolglos (ein chinesischer Reiseführer ist da genauso zielführend;-).
Bei den Programmierern scheint der Sicherheitsaspekt nicht zu interessieren und die Hotline-Mitarbeiter leiten es auch nur weiter. Wenn sich da ein Windows-Nutzer über diesen Zimt eine Drive-by-Infektion kassiert, weil er eben mit veraltetem Plugin unterwegs ist - Pech gehabt:-( Der Knüller ist dann noch, dass die Anwendung nicht einmal zertifiziert ist und deshalb noch ein Untrust-Dialog abgenickt werden muß, zumindest komisch ist das für mich schon, aber wie gesagt, eine Reaktion habe ich bis jetzt noch nicht erhalten.

Bei Elster werden wir daher solange es geht, fein bei der Version mit Papier und Abgabe auf dem Finanzamt bleiben, wenn es nicht wie bei der Gesundheitskarte, dem biometrischen Ausweis usw. irgendwann erzwungen wird.

fakiauso
"Anyone who believes exponential growth can go on forever in a finite world is either a madman or an idiot (or an economist)" - Hellsongs
bei Antwort benachrichtigen