News Oracle kündigt Java-Update an

fethomm

Commander
Registriert
Okt. 2012
Beiträge
2.597
Oracle hat für Dienstag, den 18. Juni das letzte Java-Update außerhalb des quartalsmäßigen Patchdays angekündigt. Dabei sollen 40 Lücken geschlossen werden, wovon 37 aus der Ferne und ohne Authentisierung ausgebeutet werden können.

Zur News: Oracle kündigt Java-Update an
 
Wird auch langsam Zeit... :o
 
Oracle will in Zukunft keine Updates abseits der regulären Patchdays mehr veröffentlichen, sondern nur noch gemeinsam mit Aktualisierungen für seine anderen Produkte im dreimonatigen Rhythmus. Die Notfall-Patches binden zu viel Entwicklerzeit und haben bereits Anteil an der Verschiebung des Updates auf Java 8.

Genau, wofür schnell Sicherheitslücken stopfen... Die Probleme haben ja nur die "Kunden"... hauptsache man spart Geld... :rolleyes:
 
Oracle will in Zukunft keine Updates abseits der regulären Patchdays mehr veröffentlichen, sondern nur noch gemeinsam mit Aktualisierungen für seine anderen Produkte im dreimonatigen Rhythmus. Die Notfall-Patches binden zu viel Entwicklerzeit und haben bereits Anteil an der Verschiebung des Updates auf Java 8.

Kann ich nicht verstehen. Das kommt wohl auf die Situation an? Wenn es eine wirklich dringende Sache zu verbessern gilt, dann kommt man um eine umgehende Verbesserung wohl kaum herum. Wenn es nicht wichtig ist, dann kann es natürlich warten. Ein genereller Ausschluss von außerplanmäßigen Patches bedeutet, dass man schwerwiegende Folgen (sonst wären es keine dringenden Probleme) billigend in Kauf nimmt. Entweder waren sie dann doch nicht dringend genug oder man geht hier fahrlässig vor.
 
@Falcon

auf der einen Seite stimme ich dir zu auf der Anderen ist Oracles Hoffnung das die "Verbesserungen" von JAVA 8 eben die Sicherheitslückenproblematik massiv entschärfen. Je länger man an Java 5-7 Sicherheitslücken stopf umso länger braucht Java 8 -> Umso länger sind Java 5-7 auf dem Markt und es werden wieder Sicherheitslücken entdeckt....Teufelskreis?
 
Bisher hat Oracle bei den laufenden Versionen mehr als grob fahrlässig Sicherheitslücken sehr lange vernachlässigt was Kunden und Usern schadet, wer sagt denn das es bei Java 8 besser wird ?
Oracle scheint wohl eher nach dem Glückspielprinzip zu handeln, wenn man sich verzockt oder mal wieder daneben greift, schweigen solange es nicht auffällt oder sind da auch die Big Brother Gangs aus USA am Werke :king:

Die Sicherheitsabteilung von Oracle scheint auf jeden Fall durch Unfähigkeit zu glänzen, was mag uns da mit Java 8 noch alles schocken können, was bisher nicht klappte wird dann auch nicht besser aber die Lücken :evillol:
 
Zuletzt bearbeitet:
Auf Java verzichten? Geht halt nicht immer - selbst ein Portal wie Elster online benötigt Java ...
 
"Jo Leute, hört mal, eure Sicherheit ist uns eigentlich egal. Wir haben jetzt ne Nachtschicht geschoben und ein paar Fixes rausgebracht damit uns die Presse nicht vollkommen zur Sau macht. Und das hat halt Geld gekostet. Ja so viel ist uns eure Sicherheit auch nicht wert, Geld ist wichtiger. In diesem Sinne: Wir empfehlen uns" - Was Oracle sich gedacht hat.

Es wird Zeit Java endlich einzustampfen. Welchen Nutzen hat das denn heute noch? Wer für viele Plattformen gleichzeitig programmiert, sollte C(++) nutzen. Ist Maschinen-näher und performanter. Wer Objektorientierung und einfache Syntax braucht kann C# oder eine Skriptsprache wie Python oder Ruby nutzen.
Ist alles sicherer und schneller als Java. Ab in den Müll mit diesem Mist!
 
"Dabei sollen 40 Lücken geschlossen werden, wovon 37 aus der Ferne und ohne Authentisierung ausgebeutet werden können."

Die Lücken werden auch schon ausgebeutet :rolleyes: :freak:



PS: "... ohne Authentisierung das Ausbeuten ermöglichen... " wäre sicherlich passender gewesen
 
Nach meiner Erfahrung als einfacher User fehlt mir Java, seitdem ich es vor Wochen komplett runter geschmissen habe, absolut nicht. Lediglich ein Programm (JDownloader) lässt sich so nicht deinstallieren, da finde ich aber auch noch einen Weg.
Und unser Steuerprogramm schafft das rumelstern auch ohne Java.... ^^
 
Nero FX schrieb:
auf der einen Seite stimme ich dir zu auf der Anderen ist Oracles Hoffnung das die "Verbesserungen" von JAVA 8 eben die Sicherheitslückenproblematik massiv entschärfen. Je länger man an Java 5-7 Sicherheitslücken stopf umso länger braucht Java 8 -> Umso länger sind Java 5-7 auf dem Markt und es werden wieder Sicherheitslücken entdeckt....Teufelskreis?

Weil alle mit dem Release von Java 8 darauf umsteigen werden? Ach nein, warte kurz, wir haben immer noch Firmen die Software anbieten, die nur mit einer Java 5 oder 6 laufen. Der einfache Grund dafür sind Änderungen in der API oder an Funktionen beim Sprung zur nächsten Version, die die Software im Kernbereich treffen würden. Wie lang diese Liste der Änderungen ist, kannst du dir gerne hier anschauen:

http://www.oracle.com/technetwork/java/javase/compatibility-417013.html#incompatibilities

Das stecken nicht alle Unternehmen mal so eben weg. Es kommt da durchaus vor, dass die Software mit dem Update einfach nicht mehr funktioniert und die Änderungen sind meist nicht trivialer Natur. Die modernen Prinzipien in der Programmierung wurden leider noch nicht immer beachtet und selbst heute gibt es noch genug schwarze Schafe. Deshalb ist alter Code, der keine Tests hat, nicht mal eben einfach so umzubauen. Meistens kommt dann auch noch Fluktuation in den Unternehmen mit dazu, da kann es auch mal gut passieren, dass sich gar niemand mehr mit dem Code auskennt und man erstmal einen riesigen Aufwand betreiben müsste, den Code zu verstehen und umbauen zu können.

Da kommt dann meistens das zweite Problem ins Spiel, darf ich vorstellen: der Kunde. Wenn du Software hast, die beim Kunden läuft, dann wird der ziemlich sauer wenn:

a) Keine Feature Updates mehr kommen
b) Etwas eingebaut wird, das Geld kosten soll, aber keinen sichtbaren Nutzen hat
c) Die Software plötzlich ein anderes Verhalten aufweist, weil eben Tests gefehlt haben und der Umbau doch nicht 100% das macht, was er eigentlich soll

Da man in der Regel lustige Verträge mit Kunden hat wird das sehr schnell sehr teuer, wenn der Kunde auf einen dieser Punkte läuft. Es werden Umbauten vermieden. Dadurch können keine Updates eingespielt werden. So einfach läuft das Business, traurig aber wahr. Das wäre übrigens der Fall bei großen Unternehmen, die rein theoretisch die Manpower hätten. Kleine Unternehmen haben meistens weder die Manpower, noch das Geld, um solche Umbauen überhaupt finanzieren zu können.

deo schrieb:
Mittlerweile muss man auch voll gepatchte Software als unsicher ansehen. Wenn es geht, sollte man auf so bekannte Software wie Java verzichten. Ohne ist man auch wieder sicher.
Siehe http://www.golem.de/news/nsa-geheimdienste-lassen-sich-sicherheitsluecken-liefern-1306-99821.html
Ich kann die Guten mittlerweile nicht mehr von den Bösen unterscheiden.

Wenn du so denkst, dann darfst du nichts mehr benutzen. Viel Spass beim Benutzen deiner selbst programmierten Closed Source Projekte, vom Betriebssystem mal komplett abgesehen. Nur mal eben Java deinstallieren wird dir in dem Punkt sicher nicht weiterhelfen. Da gibts genug anderen Kandidaten auf deinem Rechner, die mindestens genauso schlimm sind. Nur weil etwas nicht gerade durch die Presse geschliffen wird, heißt das nicht, dass dort keine Probleme existieren.

DaMoN1993 schrieb:
Es wird Zeit Java endlich einzustampfen. Welchen Nutzen hat das denn heute noch? Wer für viele Plattformen gleichzeitig programmiert, sollte C(++) nutzen. Ist Maschinen-näher und performanter. Wer Objektorientierung und einfache Syntax braucht kann C# oder eine Skriptsprache wie Python oder Ruby nutzen.
Ist alles sicherer und schneller als Java. Ab in den Müll mit diesem Mist!

C für viele Plattformen gleichzeitig? Du hast dich schonmal mit Programmierung auseinandergesetzt oder? Viel Spass beim Schreiben von C-Code, der auf allen Plattformen läuft.

Und der Performancepunkt ist mittlerweile auch sehr ausgelutscht. Du solltest dir vielleicht mal aktuelle Artikel dazu durchlesen und nicht Vergleiche zwischen C und Java 1.1 heranziehen. Die JVMs haben riesige Sprünge gemacht und sind mittlerweile fast gleichauf mit nativem Code, es gibt stellen da ist C schneller, es gibt aber auch Stellen die Java besser kann. Natürlich hast du bei Java auch Overhead, natürlich wird deine hochoptimierte native Anwendung schneller laufen, aber für 99,9% aller Programme ist der 5%ige Performancegewinn einfach nicht ausschlaggebend. Dein Argument ist also absoluter Bockmist. Informier dich bitte bevor du so einen Stammtischschrott von dir gibst.

Die anderen von dir aufgeführten Sprachen haben übrigens auch diverse Probleme. Vor allem Ruby glänzte in den letzten Monaten mit diversen Lücken.

Fazit: Java zu deinstallieren bringt nichts, dumme Stammtischparolen genauso wenig. Java Applets öffnen sich auch nicht von allein, klicke ich also nicht jeden Müll im Internet an, wird mein Rechner nicht verseucht.

Java wird nicht nur im Consumerbereich angewendet, sondern hauptsächlich im Businessbereich. Da interessiert es niemanden, ob jemand ein Applet geschrieben hat, dass irgendwelche Exploits beinhaltet. Die Rechner haben in der Regel keinen Internetzugang oder bieten für diese Exploits keinen Angriffsvektor, weil Java dort im Hintergrund läuft. Nicht alle Webserver auf diesem Planeten laufen auf PHP-Basis, auch wenn es wohl leider die meisten sind.

PHP ist übrigens auch keine schlechte Sprache, nur weil 95% der Hobbyprogrammierer den größten Scheiss nach irgendwelchen Tutorials implementieren, die voll sind mit SQL-Injection-Schwachstellen und XSS-Möglichkeiten.
 
Zuletzt bearbeitet:
Paratronic schrieb:
Nach meiner Erfahrung als einfacher User fehlt mir Java, seitdem ich es vor Wochen komplett runter geschmissen habe, absolut nicht. Lediglich ein Programm (JDownloader) lässt sich so nicht deinstallieren, da finde ich aber auch noch einen Weg.

dann nehme einfach den portablen JDownloader, er hat zwar auch Java integriert aber dann wird es nur bei Benutzung des Loaders aktiv.

Ehrlich gesagt bin ich auch total verunsichert und habe es auch deinstalliert, mir fehlt eigentlich nur mein Onlinebanking (Hibiscus/Jameica).
 
Dann reicht es ja wenn ich in 6 Monaten Patche, die Lücken sind bis dahin ja eh noch da und neue kommen dazu, warum also Updaten, ist ja bloß Java und Oracle ^^
 
Langsam solltet ihr mal eure Steuern fertig haben. Nächstes Jahr wird man dann ohne Java auskommen.

JDownloader kann auch ohne global installiertes Java laufen. Manche Programme bringen eine eigene JRE in ihrem Verzeichnis mit, die sie dann exklusiv selber nutzen.
 
Im Unternehmen realiseren wir momentan auch ein Projekt mit Hilfe von Java.
Ich frage mich jedes Mal, ob Java wirklich das richtige ist? Für die Verwirklichung von Webapplikationen mit CRUD REST sehr favorisiert. ABER die Tatsache, dass Java (kommerziell) ist bzw. Oracle der Eigentümer, finde ich sehr kritisch. Da herrscht quasi ein Unternehmen über alle Java basierten Softwareprodukte. Was ist wenn die Java einstellen (sehr weit hergeholt ich weiß) oder plötzlich Lizenzkosten verlangen? Sehr kritisch. Mit C(++) bspw. hätte ich das Problem nicht. Die Sprache ist frei... keiner kann mir etwas verbieten...

In der Uni, sofern man keinen Kurs mit C belegt hat, wird mit Java Programmieren gelehrt. Jeder kann es auf seinem OS nutzen und für die OOP etc. ist es recht einfach zu verstehen.

Ich hänge immer noch dadurch an Java (Webservices, Android Applikationen). Inzwischen überlege ich ernsthaft zukünftige Projekte mit C++ zu realiseren. Da fühle ich mich in meinem Bedenken sicherer....
 
JP-M schrieb:

Hahaha, den würde ich sogar gucken :D

JP-M schrieb:
Hauen wir es weg !.. Ich glaube der einzig wirklich notwendige Schritt wäre so langsam mal die Entfernung des Browserplugins aus dem JRE / JDK und dafür wirklich ein eigenständiges Plugin als optionalen Downloads.

Java im Browser habe ich sowieso schon lange deaktiviert. Wüsste auch nicht wofür ich das brauche. Nur die JRE für ein oder zwei Programme ist noch aufm Rechner.

Anders siehts tatsächlich bei Firmen aus. Habe mehrere Kunden bei denen Java unerlässlich ist... Alleine schon wegen den ganzen Steuergeschichten.
 
Dacode schrieb:
Was ist wenn die Java einstellen (sehr weit hergeholt ich weiß) oder plötzlich Lizenzkosten verlangen? Sehr kritisch.

Java an und für sich ist nur ein Standard. Dieser Standard wird durch den Java Community Process vorangetrieben. Die Community besteht aus verschiedenen User Groups, die darüber entscheiden welche Features in den Standard übernommen werden. Auch du könntest dich dort registrieren und dich aktiv beteiligen, Vorschläge bringen und Kritik/Lob ausüben. Wenn du ein paar Freunde findest, kannst du dich auch als User Group in den Prozess einbringen.

Oracle bietet zwar die meistgenutzte Implementierung dieses Standards an - die von Sun damals ins Leben gerufene Referenzimplementierung, genannt HotSpot VM - dies ist aber bei weitem nicht die einzige Implementierung einer JVM. Eine Liste aller VMs findet man in diesem Artikel auf der Wikipedia. Dein Szenario ist also wirklich irgendwo aus einem anderen Universum. Das kann und wird so nie passieren ;)
 
Zurück
Oben