Sicherheitslücke: "9 Month Old Critical Java Vuln. Still Not Patched in Mac OS X"

W

walter_f

Aktives Mitglied
Thread Starter
Dabei seit
20.02.2006
Beiträge
3.169
Reaktionspunkte
164
9 Month Old Critical Java Vuln. Still Not Patched in Mac OS X
posted by Thom Holwerda on Tue 19th May 2009 22:20 UTC

Six months ago, a certain security flaw in Java was fixed by Sun. This flaw was present in OpenJDK, GIJ, icedtea and Sun's JRE, but it got fixed in those. There's one important shipping Java implementation that still has not been fixed to remove this security flaw: Apple's Java.

This bug is pretty old, first reported to Sun in August last year. While most operating systems have mostly been patched by now, because they use Sun's JRE or any of the other fixed implementations, Apple's impementation still hasn't been fixed (not even in last week's 10.5.7 update).

...

"In general Apple has been a little slower to apply upstream security updates in Java," said Dino Dai Zovi, an independent security researcher and co-author of The Mac Hacker's Handbook, "Whenever basically they're lagging behind a vulnerability that's out and known, it's pretty significant. Potential hackers don't have to discover anything new; they can use a vulnerability that's already released."

For now, the best idea is to disable Java while on Mac OS X, and wait for Apple to get its act together on this one.

http://www.osnews.com/story/21522/9_Month_Old_Critical_Java_Vuln_Still_Not_Patched_in_Mac_OS_X

Walter.
 
Wenn das wenigstens die einzige offene Lücke wäre... :/

Tja ja ja - Apple und Sicherheit... Das wird noch ein Spass.
Ich frag mich schon wie viele Botnetze es in Wirtklichkeit* schon gibt...

*Das, was Apple-User meist ausblenden
 
Die Bedrohung ist noch gering, aber sie waechst mit dem Bekanntheitsgrad und der Verbreitung der Macs. Wenn sie im Osten ploetzlich anfangen, osx zu installieren, wird das Hoechstwarscheinlich nicht der Sicherheit zutraeglich sein. Aber viel Malware kommt ja auch aus der USA, wo traditionell viel Macs sind.
 
Ich frag mich allerdings warum hier so wenig Kommentare zu dem, in meinen Augen, wichtigen Thema stehen.
Vielleicht sind sie damit beschäftigt alle Java im Browser zu deaktivieren und wundern sich dann dass das macuser Portal nicht mehr angezeigt wird.
Mich entäuscht Apple immer mehr.
Es ist eine Frechheit das sowas noch nicht gestopft ist.
 
Hm omg... Apple baut seine eigene Java Implementation, seine eigenen Grafiktreiber, etc. pp.

Wie wärs wenn die Schnittstellen-Anbieter mal selbst die Mac OS X Versionen bereitstellen würden, mal schauen wie die dann mit Bugfixing hinterherkommen.
 
wer hat schon Java im Browser aktiviert? bei mir ist es seit Jahren aus. und auf Openoffice & Co kann ich auch gut verzichten.

aber schon recht traurig was da Apple bietet, ist ja eigentlich auch nichts neues, dass Sicherheitslücken immer mal etwas länger bei OSX drin bleiben dürfen. Die lahmen Updates und überhaupt was hinter Java auf OSX steckt ist für mich unverständlich. Entweder Java von Sun und das einigermassen aktuell, oder von Apple veraltet und schlecht und Updates gibt es sporadisch.

Warum ist das eigentlich so, dass Apple Java auf OSX selbst vertreibt?
 
Muss ich java und java script deaktivieren oder nur Java, ist vielleicht etwas blöd gefragt aber ich hab davon null Ahnung.
 
Java und JavaScript sind zwei völlig unterschiedliche Technologien, die nur den Namen und soweit ich weiß die Sprachsyntax gemeinsam haben.
Hier geht es um Java selbst.
 
Nur Java
Firefox: Menü>Firefox>Einstellungen>Inhalt: Haken weg bei "Java aktivieren"
Safari:Einstellungen/Sicherheit: Haken weg bei "Java aktivieren"
Safari: Menü>Einstellungen>Allgemein> Haken weg bei "Sichere Dateien nach dem laden öffnen"
 
Zuletzt bearbeitet:
Danke! wieder mal was dazugelernt.
 
Da sieht man aber auch, was man sich einhandelt, wenn man eine Art Betriebssystem im Betriebssystem hat, wie es ja bei Java der Fall ist.
Irgendwie hat mir das ganze noch nie gefallen.
Tja, werde wohl Java für immer komplett begraben.
 
christian l schrieb:
Da sieht man aber auch, was man sich einhandelt, wenn man eine Art Betriebssystem im Betriebssystem hat, wie es ja bei Java der Fall ist.
Irgendwie hat mir das ganze noch nie gefallen.
Tja, werde wohl Java für immer komplett begraben.
Zum Vergrößern anklicken....

Dann verschliesst du dir viele Programme und Websites. ImageJ OOfice usw
Ich finde java hat schon seine Daseinsberechtigung. Aber leider viele Sicherheitsprobleme.
 
SelonScience schrieb:
Ich finde java hat schon seine Daseinsberechtigung. Aber leider viele Sicherheitsprobleme.
Zum Vergrößern anklicken....

Java-Programme haben den Vorteil der leichten Portabilität, aber das Interface ist meist etwas schwerfällig.

Im Browser ist Java nicht nötig (JavaScript schon) und man sollte Java immer deaktivieren. So mache ich das schon seit Jahren. Es gibt einige wenige nützliche Ausnahmen wie die Seiten von Bruce Lindbloom, bei denen man Java im Browser dann im Einzelfall erlauben kann.
 
Alleine schon die Tatsache, dass das Testapplet für den Exploit draussen ist lässt befürchten, dass sich viele Leute die sich sonst nicht die Mühe gemacht hätten so etwas anzugehenden, den Code schnappen, ihn ummodeln und mit Schadcode füllen. Und sei es auch nur zum "Spaß".
Ich kann mir vorstellen, dass da noch einiges auf uns zukommen wird.

P.S.
Mit endgültig begraben meinte ich im vorherigen Post, dass ich Java wohl nicht mehr im Browser aktivieren werde.
 
Java habe ich im Browser auch aus, bin 90er-Jahre Applet-Navigationsgeschädigt ;)

Leider braucht man es für ElsterOnline.
 
chris25 schrieb:
Java habe ich im Browser auch aus, bin 90er-Jahre Applet-Navigationsgeschädigt ;)

Leider braucht man es für ElsterOnline.
Zum Vergrößern anklicken....

Hehe, dann hoffe ich für Dich, Du vergisst danach nicht, Java wieder zu deaktivieren. :D
 
Tjaja, Apple und die Patches … Man kann ja viel schlechtes über MS sagen, aber die haben es wenigstens hinbekommen regelmäßig und zügig Sicherheitslecks zu stopfen. Warum kann Apple das nicht auch?!
 
Java hat wohl bei Apple eine ganz niedrige Priorität. Das sieht man schon allein daran, wie sie die Java-Cocoa-Anbindung verrotten haben lassen. Die sind zunächst auf den Hype aufgesprungen und jetzt wollen sie wohl nichts mehr davon wissen. Java ist halt nicht "Apple-like".
Einerseits wollen sie wohl die Mac-OS Portierung von Java nicht Sun alleine überlassen, haben aber andererseits wahrscheinlich zu wenig Leute, um die Patches von Sun zeitnah umzusetzen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten