Viren, Spyware, Datenschutz 11.234 Themen, 94.586 Beiträge

Verfolgung starten Optionen
News: Elster verlangt Java

Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern

Michael Nickles / 62 Antworten / Flachansicht Nickles

Die Pannenserie bei Oracles Java reißt nicht ab. Erst vor rund einer Woche wurde die Version 7 Update 15 ausgeliefert, die auf der Download-Seite  www.java.com/de/download auch weiterhin angeboten wird - ohne besondere Hinweise auf Risiken.

Tatsache ist leider, dass sich auch diese neue Version längst als Griff ins Klo entpuppt hat. Das Sicherheitsunternehmen Security Explorations hat in der aktuellen Version zwei Sicherheitslücken entdeckt und diese Oracle mitgeteilt und "Beweiscode" geliefert. Oracle untersucht die Sache derzeit.

Michael Nickles meint:

Es ist nicht mehr lustig, was sich da abspielt. Oracle scheint dieses Java einfach nicht in den Griff zu kriegen. Und das hat ist leider kein Gimmick, weil diese permanenten Java-Sicherheitslücken zunehmend ausgenutzt werden, bevor Oracle sie stopfen kann.

Unter anderem Zdnet hat berichtet, dass Java-Schwachstellen jüngst für die Cyberattacken auf Apple, Facebook und Microsoft genutzt wurden. Aktuell hat man eigentlich nur eine einzige Chance sich von dem Java-Wahnsinn zu befreien: es im Browser explizit ausschalten.

Das geht bei jedem Browser leider unterschiedlich, ist bei den "Plug-In/Addon"-Einstellungen verbuddelt. Laien haben da eigentlich verloren - aber die kriegen die Existenz solcher Sicherheitsbomben in ihrem Rechner sowieso gar nicht mit.

Noch schlimmer: viele sind sogar dazu gezwungen Java zu verwenden, können es gar nicht abschalten. Seit 2005 sind beispielsweise alle steuerpflichtigen Arbeitgeber und Unternehmer gesetzlich dazu verpflichtet, Lohnsteuer-, Umsatzsteuer- und Lohnbescheinigungsmeldungen über das Elster-Meldeverfahren durchzuführen:

Auf der Elsteronline-Webseite werden die Anforderungen für den Betrieb der Software aufgelistet. An erster Stelle steht "Java".

 

Deutsche Unternehmer sind also staatlich dazu verpflichtet eine Software zu verwenden, die nur auf einer extrem sicherheitsanfälligen Umgebung läuft. Das macht nachdenklich. Zwar gibt es alternative Elster-Software, aber auch die braucht für die Übermittlung das Java-Zeugs. Elster ohne Java geht also nicht, wie auch hier im Elsterforum erklärt.

Es ist schon eine saublöde Situation. Auch Mittelstandswiki hat Anfang Januar berichtet, dass der Elster-Zwang für Unternehmen zunehmend ein Fall für die IT-Abteilungen werde. Pervers: auch das staatliche Bundesamt für Sicherheit in der Informationstechnik warnt längst ausdrücklich vor der Java-Laufzeitumgebung.

bei Antwort benachrichtigen
Noch schlimmer: das Finanzamt verlangt Version 6.0, das ... Slartibartfas
Jo, das hatte ich auch schon mal in einem Thread ... winnigorny1
Die passende Überschrift für Mikes Artikel hätte lauten ... IRON67
Coole Überschrift! :-) Michael Nickles
Das finde ich auch. Zu gefährlich java auszuführen... ... cacare
Dann ist doch aber die Aussage des ... IRON67
Ich denke nein. Laut ... mawe2
Dann hat sich Slartibartfas wohl vertan. Angesichts des ... IRON67
Also Firefox,Google Chrome und Opera haben ja mittlerweile ... mi~we
Ja, Micha, mit diesem Thema hast Du wirklich einen wunden ... XAR61
Java im Browser? NoScript! Ist zwar am Anfang nervig, aber ... BastetFurry
Man kann zwar Java auch mit NoScript eindämmen, ober ich ... IRON67
Tue ich sicherlich nicht. :) Nö, dafür kann man auch ... BastetFurry
Und was ist mit denen, denen man vertraut? NoScript ist ... IRON67
Das glaube ich kaum:bastetfurry@katzenrechner:~$ java ... BastetFurry
Ja, die Linuxer werden auch immer schlampiger. Erwischt sie ... IRON67
Kann ich nix dafür wenns nicht im Rep von Canonical ist. ... BastetFurry
Bei weltweit allen Usern? Glaubsch jetzt aber nicht ;) IRON67
Hi Nö, weil BastetFurry OpenJDK hat, nicht Oracles JDK. Und ... fakiauso
Ahso. Na da darf man ja gespannt sein, welche Lücken da ... IRON67
Hallo Die Versionsbezeichnung kannst Du jetzt nicht 1:1 ... fakiauso
Und trotzdem läuft alles paletti. Okay, das einzige was ... BastetFurry
Naja...aber wirklich wissen kann man es als Endanwender ... IRON67
Hi Das trifft ja in erster Linie Linuxanwender, denn unter ... fakiauso
Die meinte ich mit Endanwender in diesem Fall. Eben. Und ... IRON67
Hi Da vermehrst Du jetzt etwas: OpenJDK wird über die ... fakiauso
Hö? Du meinst wohl "vermengst". Und nein, tue ich nicht. ... IRON67
Hi Auch wenn es jetzt wirklich OT wird: Da bin ich in s ... fakiauso
Jaja, die Bergbewohner .... Wie heißts bei euch? Arzgebirg, ... IRON67
Sollte es dann nicht "verm ä hrst" geschrieben werden? Alter68er
Das kommt auf die Stimmung an;-) fakiauso
... es geht auch noch besser. Ich habe in den Browsern Java ... Buddy1
> Deutsche Unternehmer sind also staatlich dazu verpflichtet ... Hassashin
Farcebook ist ne wirklich nette Wortschöpfung! Aber: Das ... winnigorny1
Lies langsamer! Er schrieb Farcebook ist die Pest des ... IRON67
aaah - ich werde alt! Danke für den Hinweis! winnigorny1
Und was wird an hochschulen gelehrt? Java! Welche entwickelr ... reader
In deinem Auto, wo sich die CPU 200ms Bedenkzeit einräumt ... BastetFurry
Es gibt Java-Implementierungen die harte Echtzeitbedingungen ... Borlander
Als eine von mehreren Sprachen Java ist eine ganze Menge, ... Borlander
Ich habe vor ein paar Wochen den Betreibern von Elster die ... mawe2
Irgendwie verstehe ich das nicht. Ich habe gerade eben mit ... Ventox
IRON67 Ventox „Irgendwie verstehe ich das nicht. Ich habe gerade eben mit ...“
Optionen
obwohl ich nicht Java installiert habe. ...wird mir nämlich für den Firefox 19.0 und dem Internet Explorer 10 "Auf Ihrem System wurde keine funktionsfähige Java-Version ermittelt" angezeigt.

Wenn du kein Java installiert hast, dann MUSS diese Meldung kommen. Soweit ist das ja normal.
Wenn du sowieso weißt, dass du kein Java hast, ist der Aufruf der Testseite doch überflüssig. Selbst ein blockiertes Script oder die Click-to-Play-Funktion von Firefox kann dieses Verhalten auslösen.

Und wie es der Zufall will, blockiert Mozilla mit dieser Funktion derzeit halbherzig Java wegen der neuen Sicherheitslücken standardmäßig.

Wenn du wirklich wissen willst, ob die Java Laufzeitumgebung (JRE) installiert ist, dann schau doch in die Systemsteuerung in die Liste installierter Programme bzw. sieh nach, ob dort das Java Control Panel existiert.

Der Rest ist allerdings interessant. Aufklärung wäre nützlich.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
Ich hatte vor kurzem wegen der Sicherheitslücken alle ... Ventox
Na das ist doch nicht verwunderlich. Verwaiste ... IRON67
Daran hatte ich auch schon gedacht. Allerdings entfernt es ... Ventox
Das ist aber alles sehr seltsam bei dir. Ist Elster-Online ... IRON67
Ich habe die Elster Software installiert. Habe aber mal ... Ventox
Also gehts bei dir ausschließlich um die separat ... IRON67
Ich mache die Steuererklärung seit Jahren per Elster. Und ... Ventox
Wenn Du über Elster das Java-Applet aufrufst, erscheint ... mawe2
Das wär ein Knaller. Weia. IRON67
Ich kann diese Funktion in der Elster Software nicht finden. Ventox
Hat sich erledigt. In der Elster Version zum Installieren ... Ventox
Hallo Ventox! Was ist ein Sekundärvegetarier? Hört sich ... maxzwo1
Das ist jemand, der Tiere isst, die Pflanzen gefressen ... IRON67
Na, das nenne ich aber eine schnelle und aufschlussreiche ... maxzwo1
Das wäre lustig aber auch sehr beunruhigend. aldebuedel
Ich esse nur Tiere, die sich vegetarisch ernähren. ;-) Ventox
Naja, man muss aber schon mal sagen dass das Finanzamt da ... InvisibleBot
Nein. Aber als die Probleme unübersehbar groß wurden, ... IRON67
Anscheinend noch mehr Lücken in Java, die Kriminelle auch ... mi~we