News Gefährdungspotential von Java 6 steigt stark an

[fethomm]

Das Gefährdungspotential von Java-6-Installationen steigt in letzter Zeit enorm an, ebenso wie die Raffinesse der Angriffe. Obwohl Oracle im Frühjahr den Support für Java 6 einstellte, liegt die Installationsbasis heute insgesamt noch bei über 50, in Unternehmen bei immerhin noch rund 30 Prozent.

Zur News: Gefährdungspotential von Java 6 steigt stark an

 

[chb@]

Es wird endlich Zeit, dass Java und Flash aus dem WorldWideWeb vertrieben werden. Bei den ganzen nicht PC Geräten sorgen diese beiden Anwendungen für Probleme...von den Sicherheitslücken mal abgesehen.

 

[aurum]

Ich habe es schon vor Ewigkeiten deaktiviert und bisher nie wieder gebraucht.

 

[etheReal]

Java ist eine ziemlich solide Programmiersprache - wenn Anwender nicht mehr unterstützte Versionen verwenden, ist das deren eigene Schuld.

Oder soll man jetzt vielleicht auch "Windows aus dem Internet vertreiben" weil XP nicht mehr sicher ist?

 

[rob-]

Einfach Java Support für Web komplett einstellen, zu mächtig und komplex.
Man macht nur seinen Ruf kaputt weil alle denken das betrifft auch Java Programme auf dem PC.

Die deinstallieren dann LibreOffice usw. und installieren sich die NSA tools von Microsoft
Web-Java / Applets schaden dem ganzen Java-Industriezweig.

Ein paar Gesetze zur Update Verpflichtung bei Unternehmen würden auch nicht schaden.
Schafft zumindest paar Jobs mehr.

 

[LinuxMcBook]

Passiert ja auch nicht unverdient.
Jeder Anwender und Admin hat die Möglichkeit und sogar Pflicht zum Update.

Und wer Aufgrund seiner veralteten Software noch auf Version 6 setzen muss, der bekommt immerhin noch kostenpflichtige Updates.
Oracle bzw. damals noch SUN (?) haben bestimmt nicht vertraglich zugesichert, Version 6 bis auf alle Ewigkeit mit Updates zu versorgen.

 

[deo]

Ich sehe die Schuld ganz klar bei Oracle, wenn Anwender veraltete Versionen benutzen. Admins mal ausgenommen, die sie installieren müssen, weil die Chefs kein Geld für neue Softwareversionen ausgeben wollen. Das ist dann eine Risikoabwägung.
Anwender müssen sich auf die automatische Updatevorrichtung verlassen, die ja auch standardmäßig aktiv ist.
Wenn ein Programm gekauft worden ist, bei dem Java mitinstalliert wird, sollte der Publisher die Leute anschreiben, wenn sie den Support nicht mehr erhalten für eine neue Java Version. Bei registrierter Software ist das die Regel, zum Beispiel bei einem kostenpflichtigen AV-Programm. Es fallen natürlich auch viele durch das Raster, die Freeware haben mit Java, wo der Support vom Hersteller praktisch nicht vorhanden ist, wenn man sich nicht selbst kümmert. Am Ende ist jeder selbst verantwortlich für die Pflege seiner Software, aber "Selbst Schuld" ist mir da zu pauschal, weil die Softwarehersteller da mitdenken müssen.

 

[motzerator]

Oracle ist scheinbar unfähig, die Leute zu Updates zu überreden oder für deren Sicherheit zu sorgen. Man sollte dieses Java einfach entsorgen, auf meinem PC ist es schon lange heruntergeflogen. Libre Office meckert dann zwar ein wenig, aber letztendlich läuft es ohne Probleme weiter, die paar Funktionen, die Java benötigen, habe ich noch nie genutzt.

 

[|SoulReaver|]

Einfach vom Rechner fern halten und gut ist.

 

[Radde]

Oder soll man jetzt vielleicht auch "Windows aus dem Internet vertreiben" weil XP nicht mehr sicher ist?

Genau das!
Ein Monat nach dem letzten Update für XP sollten die letzten XP-Nutzer gezwungen werden auf irgendetwas anderes Umzusteigen!
Meiner Meinung nach hat jeder Nutzer des Internets dafür zu sorgen, dass sein Computer/Tablett/Smartphone/Glühbirne/... nicht zur Virenschleuder wird.
Die Stadt München macht auf die steigende Gefahr alter Software aufmerksam und verteilt momentan 2000 kostenlose Ubuntu-CDs. (siehe golem.de) DAS ist mal ein wirklicher Dienst an der Gesellschaft.

 

[motzerator]

Passiert ja auch nicht unverdient.
Jeder Anwender und Admin hat die Möglichkeit und sogar Pflicht zum Update.

Natürlich ist sowas unverdient, weil die meisten Opfer keine Computercracks sind, denen überhaupt bewusst ist, was für ein Sicherheitsrisiko dieses blöde Java geworden ist, seit es in den Krallen von Oracle hängt!

Die Lösung ist übrigens Deinstallieren statt Patchen, dann ist das Sicherheitsloch dauerhaft zu!

Ergänzung (14. September 2013)

Ein Monat nach dem letzten Update für XP sollten die letzten XP-Nutzer gezwungen werden auf irgendetwas anderes Umzusteigen! Meiner Meinung nach hat jeder Nutzer des Internets dafür zu sorgen, dass sein Computer/Tablett/Smartphone/Glühbirne/... nicht zur Virenschleuder wird.

Warum nicht Microsoft zwingen, weiter Sicherheitspatche zu liefern, die letztendlich nur Fehler in ihrem Produkt nachbessern? Warum die Produkthaftung nicht ausweiten und die Firmen, die es ändern können, dazu verdonnern, auch langfristig für ihre fahrlässige Programmierung gerade zu stehen?

 

[Arthax]

Oracle ist scheinbar unfähig, die Leute zu Updates zu überreden oder für deren Sicherheit zu sorgen. Man sollte dieses Java einfach entsorgen, auf meinem PC ist es schon lange heruntergeflogen. Libre Office meckert dann zwar ein wenig, aber letztendlich läuft es ohne Probleme weiter, die paar Funktionen, die Java benötigen, habe ich noch nie genutzt.

Ich benötige auch kein Java. Wozu auch, wenn man es nicht braucht. Es macht eh nur Probleme und ist oft eine Sicherheitslücke.

 

[rob-]

Natürlich ist sowas unverdient, weil die meisten Opfer keine Computercracks sind, denen überhaupt bewusst ist, was für ein Sicherheitsrisiko dieses blöde Java geworden ist, seit es in den Krallen von Oracle hängt!

Die Lösung ist übrigens Deinstallieren statt Patchen, dann ist das Sicherheitsloch dauerhaft zu!

Ergänzung (14. September 2013)

Warum nicht Microsoft zwingen, weiter Sicherheitspatche zu liefern, die letztendlich nur Fehler in ihrem Produkt nachbessern?

Man muss aber auch blöde genug sein die Browser Popups mit JA zu beantworten.
Wer sich mit dem PC beschäftigt sollte schon wissen dass eine .jar nicht harmloser ist als eine .exe

 

[HardRockDude]

Was bedeuten solche Meldungen eigentlich im Klartext?

Im Endeffekt läuft es ja darauf hinaus - wie auch hier schon in den wenigen Kommentaren zu erkennen - dass die Leute von Java fernbleiben. Sie starten sicherheitshalber keine Java-Applets mehr und bekommen im Kopf eine Haltung wie "Java braucht man ja eigentlich eh kaum".

Heißt das, dass Java an sich immer mehr beiseite geschoben und uninteressanter wird? Ich kann mir das kaum vorstellen, als Programmiersprache liebe ich Java, es gibt meiner Meinung nach kaum was Schöneres für einen Programmierer. Alle meine Tools und auch Dinge für Studium/Arbeit oder einfach just for fun entwickele ich in Java, weil es Spaß macht. Klar ist c++ nicht so verschieden, aber mit Pointern, Referenzen und manueller Speicherverwaltung herumzuhantieren ist einfach unschön und zeitaufwendig.

Und was bedeutet das für mobile Endgeräte? Oder bin ich mit der Denke, dass Java uninteressanter wird, ohnehin auf dem falschen Dampfer?

 

[motzerator]

Ich benötige auch kein Java. Wozu auch, wenn man es nicht braucht. Es macht eh nur Probleme und ist oft eine Sicherheitslücke.

Na ja, wenn man Lust hat, für Apps für Android zu basteln, bräuchte man den Krempel als Entwicklungsumgebung. Aber ein normaler Anwender braucht kein Java!

 

[hallo7]

Ich sehe die Schuld ganz klar bei Oracle, wenn Anwender veraltete Versionen benutzen. Admins mal ausgenommen, die sie installieren müssen, weil die Chefs kein Geld für neue Softwareversionen ausgeben wollen. Das ist dann eine Risikoabwägung.
Anwender müssen sich auf die automatische Updatevorrichtung verlassen, die ja auch standardmäßig aktiv ist.
Wenn ein Programm gekauft worden ist, bei dem Java mitinstalliert wird, sollte der Publisher die Leute anschreiben, wenn sie den Support nicht mehr erhalten für eine neue Java Version. Bei registrierter Software ist das die Regel, zum Beispiel bei einem kostenpflichtigen AV-Programm. Es fallen natürlich auch viele durch das Raster, die Freeware haben mit Java, wo der Support vom Hersteller praktisch nicht vorhanden ist, wenn man sich nicht selbst kümmert. Am Ende ist jeder selbst verantwortlich für die Pflege seiner Software, aber "Selbst Schuld" ist mir da zu pauschal, weil die Softwarehersteller da mitdenken müssen.

Also mein Java erzählt mir sehr häufig, dass es Updates haben will. Wenn man es ausstellt ist es nicht mehr die Schuld von Oracle und auch wenn Drittanbieter die Software dementsprechend konfigurieren ist es nicht die Schuld von Oracle...
Wenn du ein Programm verwendest, dass intern IE 5 für eine eingebettete Internetnutzung benutzt weil der damals üblich war, muss dich auch nicht Microsoft anschreiben, dass man hier einen neueren Browser verwenden soll... Allein die Vorstellung ist dämlich und die Umsetzung noch dümmer. Wenn du für Java Geld bezahlst wirst du eh darauf hingewiesen, keine Angst, aber alle anderen müssen sich selbst drum kümmern.

(Außerdem ist auch ein altes Java nicht unsicher, es ist immer noch der User, der den Fehler macht. Er wird nur weniger stark daran gehindert einen Fehler zu machen)

 

[deo]

Bei so was versuche ich mich in den einfachen Anwender zu versetzen, der nicht mehr kann, als den PC unfallfrei zu starten und ein Programm zu benutzen und ein bisschen surft. Der installiert dann mal etwas, was ihn interessiert, wobei er schon vorsichtig ist, dass es von einem bekannten Hersteller oder Downloadportal kommt und schwups ist Java auf seinem PC, ohne dass er es merkt. Das Spiel deinstalliert er auch wieder, weil er es doch nicht gut findet. Aber Java bleibt auf dem PC, auch wenn es eine veraltete Version ist. Und damit ist er gefährdet, ohne eigenes Verschulden.

 

[Radde]

Warum nicht Microsoft zwingen, weiter Sicherheitspatche zu liefern, die letztendlich nur Fehler in ihrem Produkt nachbessern? Warum die Produkthaftung nicht ausweiten und die Firmen, die es ändern können, dazu verdonnern, auch langfristig für ihre fahrlässige Programmierung gerade zu stehen?

Eigentlich ein guter Punkt.
Ich bin durchaus der Meinung, dass eine Software "nach dem Stand der Technik" "möglichst" fehlerfrei sein sollte. An den Gänsefüßchen sieht man aber schon, dass das nicht möglich sein kann. Also bleibt nur die Möglichkeit auf die Nutzer einzuwirken, dass sie unsichere Software meiden. (Microsoft macht das ja an anderer Stelle schon ganz gut )

 

[MountWalker]

Java hat imho absolut genauso Daseinsberechtigung, wie jede andere API, die sowohl für Web-Browser als auch für Desktop-Anwendungen genutzt werden kann. Es ist ja nun nicht so, als wäre Java mit diesem Ansatz allein. Mir fallen dabei sofort ActiveX, Adobe AIR, sowie diverse Ambitionen von Web-Browser-Entwicklern ein, Webanwednungen zu Desktop-Anwednungen zu machen.

Den User, der von Java-6-Lücken betroffen ist, aus der Schuld zu nehmen, halte ich daher für falsch. Wer mit einem Spiel aus dem Jahr 2009 ohne es zu merken Adobe AIR installiert hat, kann genauso von Sicherheitslücken betroffen sein - diese sind nur weniger populär. Und die JRE von Oracle für Windows wird ja grundsätzlich mit einem Updater installiert - wenn man die Updates dann nicht installiert, ist man genauso schuld, wie wenn man Windows Updates nicht installiert.

In größeren Unternehmen ist das nicht weiter tragisch. Die Unternehmensfirewall (eine Firewall ist ein Rechner, der verschiedene Netzwerke sauber und sicher voneinander trennt) dürfte Java-Web-Applets sowieso blocken. Und hier gibt es Sicherheitsupdates. Unternehmen, die noch Java6 im Intranet einsetzen, wissen schon, was sie tun. Man kann auch Java 6 udn Java 7 parallel installieren und WebApplets nur für Java 7 erlauben.

 

[freacore]

Um ein in Java geschriebenes Programm auf dem PC zu starten, braucht man doch auch Java.