Viren, Spyware, Datenschutz 11.242 Themen, 94.693 Beiträge

Verfolgung starten Optionen
News: Elster verlangt Java

Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern

Michael Nickles / 62 Antworten / Flachansicht Nickles

Die Pannenserie bei Oracles Java reißt nicht ab. Erst vor rund einer Woche wurde die Version 7 Update 15 ausgeliefert, die auf der Download-Seite  www.java.com/de/download auch weiterhin angeboten wird - ohne besondere Hinweise auf Risiken.

Tatsache ist leider, dass sich auch diese neue Version längst als Griff ins Klo entpuppt hat. Das Sicherheitsunternehmen Security Explorations hat in der aktuellen Version zwei Sicherheitslücken entdeckt und diese Oracle mitgeteilt und "Beweiscode" geliefert. Oracle untersucht die Sache derzeit.

Michael Nickles meint:

Es ist nicht mehr lustig, was sich da abspielt. Oracle scheint dieses Java einfach nicht in den Griff zu kriegen. Und das hat ist leider kein Gimmick, weil diese permanenten Java-Sicherheitslücken zunehmend ausgenutzt werden, bevor Oracle sie stopfen kann.

Unter anderem Zdnet hat berichtet, dass Java-Schwachstellen jüngst für die Cyberattacken auf Apple, Facebook und Microsoft genutzt wurden. Aktuell hat man eigentlich nur eine einzige Chance sich von dem Java-Wahnsinn zu befreien: es im Browser explizit ausschalten.

Das geht bei jedem Browser leider unterschiedlich, ist bei den "Plug-In/Addon"-Einstellungen verbuddelt. Laien haben da eigentlich verloren - aber die kriegen die Existenz solcher Sicherheitsbomben in ihrem Rechner sowieso gar nicht mit.

Noch schlimmer: viele sind sogar dazu gezwungen Java zu verwenden, können es gar nicht abschalten. Seit 2005 sind beispielsweise alle steuerpflichtigen Arbeitgeber und Unternehmer gesetzlich dazu verpflichtet, Lohnsteuer-, Umsatzsteuer- und Lohnbescheinigungsmeldungen über das Elster-Meldeverfahren durchzuführen:

Auf der Elsteronline-Webseite werden die Anforderungen für den Betrieb der Software aufgelistet. An erster Stelle steht "Java".

 

Deutsche Unternehmer sind also staatlich dazu verpflichtet eine Software zu verwenden, die nur auf einer extrem sicherheitsanfälligen Umgebung läuft. Das macht nachdenklich. Zwar gibt es alternative Elster-Software, aber auch die braucht für die Übermittlung das Java-Zeugs. Elster ohne Java geht also nicht, wie auch hier im Elsterforum erklärt.

Es ist schon eine saublöde Situation. Auch Mittelstandswiki hat Anfang Januar berichtet, dass der Elster-Zwang für Unternehmen zunehmend ein Fall für die IT-Abteilungen werde. Pervers: auch das staatliche Bundesamt für Sicherheit in der Informationstechnik warnt längst ausdrücklich vor der Java-Laufzeitumgebung.

bei Antwort benachrichtigen
Noch schlimmer: das Finanzamt verlangt Version 6.0, das ... Slartibartfas
Jo, das hatte ich auch schon mal in einem Thread ... winnigorny1
Die passende Überschrift für Mikes Artikel hätte lauten ... IRON67
Coole Überschrift! :-) Michael Nickles
Das finde ich auch. Zu gefährlich java auszuführen... ... cacare
Dann ist doch aber die Aussage des ... IRON67
Ich denke nein. Laut ... mawe2
Dann hat sich Slartibartfas wohl vertan. Angesichts des ... IRON67
Also Firefox,Google Chrome und Opera haben ja mittlerweile ... mi~we
Ja, Micha, mit diesem Thema hast Du wirklich einen wunden ... XAR61
Java im Browser? NoScript! Ist zwar am Anfang nervig, aber ... BastetFurry
Man kann zwar Java auch mit NoScript eindämmen, ober ich ... IRON67
Tue ich sicherlich nicht. :) Nö, dafür kann man auch ... BastetFurry
Und was ist mit denen, denen man vertraut? NoScript ist ... IRON67
Das glaube ich kaum:bastetfurry@katzenrechner:~$ java ... BastetFurry
Ja, die Linuxer werden auch immer schlampiger. Erwischt sie ... IRON67
Kann ich nix dafür wenns nicht im Rep von Canonical ist. ... BastetFurry
Bei weltweit allen Usern? Glaubsch jetzt aber nicht ;) IRON67
Hi Nö, weil BastetFurry OpenJDK hat, nicht Oracles JDK. Und ... gelöscht_189916
Ahso. Na da darf man ja gespannt sein, welche Lücken da ... IRON67
gelöscht_189916 IRON67 „Ahso. Na da darf man ja gespannt sein, welche Lücken da ...“
Optionen

Hallo

Ahso. Na da darf man ja gespannt sein, welche Lücken da noch schlummern...

Die Versionsbezeichnung kannst Du jetzt nicht 1:1 übernehmen, da OpenJDK und das normale JDK von Oracle zwei Paar Schuhe sind. Gleiche Version bedeutet also in diesem Fall nicht automatisch gleicher Entwicklungsstand, Updates gibt es für das OpenJDK trotzdem, auch wenn sich die Versionsnummer nicht ändert (ein Auszug aus der letzten Systemaktualisierung bei mir):

Vorbereiten zum Ersetzen von openjdk-6-jdk 6b27-1.12.1-2ubuntu0.10.04.2 (durch .../openjdk-6-jdk_6b27-1.12.3-0ubuntu1~10.04_i386.deb)

OpenJava empfiehlt grundsätzlich die Version 7, die 6 wird wohl aus Kompatibilitätsgründen parallel dazu noch weitergepflegt.

http://openjdk.java.net/projects/jdk6/

Zitat daraus:

"Since then, all three trains, 6 update, OpenJDK 7, and OpenJDK 6, have continued evolving, with certain fixes being applied to or ported between the releases. Security fixes are applied to all release trains."

Da einige Lücken in Oracles Java sehr wahrscheinlich im proprietären Teil des Codes liegen dürften, ist das OpenJDK in diesem Fall gar nicht betroffen davon, denn dort wurde dieser Code ja zwangsweise entfernt.

fakiauso
bei Antwort benachrichtigen
Und trotzdem läuft alles paletti. Okay, das einzige was ... BastetFurry
Naja...aber wirklich wissen kann man es als Endanwender ... IRON67
Hi Das trifft ja in erster Linie Linuxanwender, denn unter ... gelöscht_189916
Die meinte ich mit Endanwender in diesem Fall. Eben. Und ... IRON67
Hi Da vermehrst Du jetzt etwas: OpenJDK wird über die ... gelöscht_189916
Hö? Du meinst wohl "vermengst". Und nein, tue ich nicht. ... IRON67
Hi Auch wenn es jetzt wirklich OT wird: Da bin ich in s ... gelöscht_189916
Jaja, die Bergbewohner .... Wie heißts bei euch? Arzgebirg, ... IRON67
Sollte es dann nicht "verm ä hrst" geschrieben werden? Alter68er
Das kommt auf die Stimmung an;-) gelöscht_189916
... es geht auch noch besser. Ich habe in den Browsern Java ... Buddy1
> Deutsche Unternehmer sind also staatlich dazu verpflichtet ... Hassashin
Farcebook ist ne wirklich nette Wortschöpfung! Aber: Das ... winnigorny1
Lies langsamer! Er schrieb Farcebook ist die Pest des ... IRON67
aaah - ich werde alt! Danke für den Hinweis! winnigorny1
Und was wird an hochschulen gelehrt? Java! Welche entwickelr ... reader
In deinem Auto, wo sich die CPU 200ms Bedenkzeit einräumt ... BastetFurry
Es gibt Java-Implementierungen die harte Echtzeitbedingungen ... Borlander
Als eine von mehreren Sprachen Java ist eine ganze Menge, ... Borlander
Ich habe vor ein paar Wochen den Betreibern von Elster die ... mawe2
Irgendwie verstehe ich das nicht. Ich habe gerade eben mit ... Ventox
Wenn du kein Java installiert hast, dann MUSS diese Meldung ... IRON67
Ich hatte vor kurzem wegen der Sicherheitslücken alle ... Ventox
Na das ist doch nicht verwunderlich. Verwaiste ... IRON67
Daran hatte ich auch schon gedacht. Allerdings entfernt es ... Ventox
Das ist aber alles sehr seltsam bei dir. Ist Elster-Online ... IRON67
Ich habe die Elster Software installiert. Habe aber mal ... Ventox
Also gehts bei dir ausschließlich um die separat ... IRON67
Ich mache die Steuererklärung seit Jahren per Elster. Und ... Ventox
Wenn Du über Elster das Java-Applet aufrufst, erscheint ... mawe2
Das wär ein Knaller. Weia. IRON67
Ich kann diese Funktion in der Elster Software nicht finden. Ventox
Hat sich erledigt. In der Elster Version zum Installieren ... Ventox
Hallo Ventox! Was ist ein Sekundärvegetarier? Hört sich ... maxzwo1
Das ist jemand, der Tiere isst, die Pflanzen gefressen ... IRON67
Na, das nenne ich aber eine schnelle und aufschlussreiche ... maxzwo1
Das wäre lustig aber auch sehr beunruhigend. aldebuedel
Ich esse nur Tiere, die sich vegetarisch ernähren. ;-) Ventox
Naja, man muss aber schon mal sagen dass das Finanzamt da ... InvisibleBot
Nein. Aber als die Probleme unübersehbar groß wurden, ... IRON67
Anscheinend noch mehr Lücken in Java, die Kriminelle auch ... mi~we