Viren, Spyware, Datenschutz 11.227 Themen, 94.383 Beiträge

Verfolgung starten Optionen
News: Elster verlangt Java

Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern

Michael Nickles / 62 Antworten / Flachansicht Nickles

Die Pannenserie bei Oracles Java reißt nicht ab. Erst vor rund einer Woche wurde die Version 7 Update 15 ausgeliefert, die auf der Download-Seite  www.java.com/de/download auch weiterhin angeboten wird - ohne besondere Hinweise auf Risiken.

Tatsache ist leider, dass sich auch diese neue Version längst als Griff ins Klo entpuppt hat. Das Sicherheitsunternehmen Security Explorations hat in der aktuellen Version zwei Sicherheitslücken entdeckt und diese Oracle mitgeteilt und "Beweiscode" geliefert. Oracle untersucht die Sache derzeit.

Michael Nickles meint:

Es ist nicht mehr lustig, was sich da abspielt. Oracle scheint dieses Java einfach nicht in den Griff zu kriegen. Und das hat ist leider kein Gimmick, weil diese permanenten Java-Sicherheitslücken zunehmend ausgenutzt werden, bevor Oracle sie stopfen kann.

Unter anderem Zdnet hat berichtet, dass Java-Schwachstellen jüngst für die Cyberattacken auf Apple, Facebook und Microsoft genutzt wurden. Aktuell hat man eigentlich nur eine einzige Chance sich von dem Java-Wahnsinn zu befreien: es im Browser explizit ausschalten.

Das geht bei jedem Browser leider unterschiedlich, ist bei den "Plug-In/Addon"-Einstellungen verbuddelt. Laien haben da eigentlich verloren - aber die kriegen die Existenz solcher Sicherheitsbomben in ihrem Rechner sowieso gar nicht mit.

Noch schlimmer: viele sind sogar dazu gezwungen Java zu verwenden, können es gar nicht abschalten. Seit 2005 sind beispielsweise alle steuerpflichtigen Arbeitgeber und Unternehmer gesetzlich dazu verpflichtet, Lohnsteuer-, Umsatzsteuer- und Lohnbescheinigungsmeldungen über das Elster-Meldeverfahren durchzuführen:

Auf der Elsteronline-Webseite werden die Anforderungen für den Betrieb der Software aufgelistet. An erster Stelle steht "Java".

 

Deutsche Unternehmer sind also staatlich dazu verpflichtet eine Software zu verwenden, die nur auf einer extrem sicherheitsanfälligen Umgebung läuft. Das macht nachdenklich. Zwar gibt es alternative Elster-Software, aber auch die braucht für die Übermittlung das Java-Zeugs. Elster ohne Java geht also nicht, wie auch hier im Elsterforum erklärt.

Es ist schon eine saublöde Situation. Auch Mittelstandswiki hat Anfang Januar berichtet, dass der Elster-Zwang für Unternehmen zunehmend ein Fall für die IT-Abteilungen werde. Pervers: auch das staatliche Bundesamt für Sicherheit in der Informationstechnik warnt längst ausdrücklich vor der Java-Laufzeitumgebung.

bei Antwort benachrichtigen
Noch schlimmer: das Finanzamt verlangt Version 6.0, das ... Slartibartfas
Jo, das hatte ich auch schon mal in einem Thread ... winnigorny1
Die passende Überschrift für Mikes Artikel hätte lauten ... IRON67
Coole Überschrift! :-) Michael Nickles
Das finde ich auch. Zu gefährlich java auszuführen... ... cacare
Dann ist doch aber die Aussage des ... IRON67
Ich denke nein. Laut ... mawe2
Dann hat sich Slartibartfas wohl vertan. Angesichts des ... IRON67
Also Firefox,Google Chrome und Opera haben ja mittlerweile ... mi~we
Ja, Micha, mit diesem Thema hast Du wirklich einen wunden ... XAR61
Java im Browser? NoScript! Ist zwar am Anfang nervig, aber ... BastetFurry
Man kann zwar Java auch mit NoScript eindämmen, ober ich ... IRON67
Tue ich sicherlich nicht. :) Nö, dafür kann man auch ... BastetFurry
Und was ist mit denen, denen man vertraut? NoScript ist ... IRON67
Das glaube ich kaum:bastetfurry@katzenrechner:~$ java ... BastetFurry
Ja, die Linuxer werden auch immer schlampiger. Erwischt sie ... IRON67
Kann ich nix dafür wenns nicht im Rep von Canonical ist. ... BastetFurry
Bei weltweit allen Usern? Glaubsch jetzt aber nicht ;) IRON67
Hi Nö, weil BastetFurry OpenJDK hat, nicht Oracles JDK. Und ... fakiauso
Ahso. Na da darf man ja gespannt sein, welche Lücken da ... IRON67
Hallo Die Versionsbezeichnung kannst Du jetzt nicht 1:1 ... fakiauso
Und trotzdem läuft alles paletti. Okay, das einzige was ... BastetFurry
Naja...aber wirklich wissen kann man es als Endanwender ... IRON67
fakiauso IRON67 „Naja...aber wirklich wissen kann man es als Endanwender ...“
Optionen

Hi

Naja...aber wirklich wissen kann man es als Endanwender nicht, oder

Das trifft ja in erster Linie Linuxanwender, denn unter den anderen Systemen wird wohl vorrangig Oracle laufen, da gilt halt weiterhin ständig updaten und Plugin abschalten. In den aktuellen Distris läuft sowieso die JDK 7, aber der Stand der Sicherheitsupdates ist bei JDK 6 und 7 identisch. Das macht dann eben die kleine Versionsnummer am Ende des Paketes, wenn es über die Paketverwaltung installiert wird. Sicherheitsupdates werden von den Distributoren zügig eingearbeitet, das liegt zwischen Stunden und wenigen Tagen, aktualisieren muß der User natürlich trotzdem selber.
So gesehen ist jede noch so aktuelle Software weiterhin "unsicher", wobei ich da unabhängig von der Versionsbezeichnung behaupte, dass OpenJDK eben weil es Open Source ist, bei Patches schneller reagiert.
Unter Oracle ist dann das Problem, das aus meiner Sicht bei Problemen im proprietären Code erst der entsprechende Inhaber verständigt werden muß, dieser paßt den Code an oder läßt anpassen, je nachdem, wie das mit Oracle vereinbart ist, der wird dann eingebaut uswusf. Das Ergebnis ist bekannt.

@BastetFurry

Und trotzdem läuft alles paletti.

Leider nicht immer. Wir nutzen für unseren Fortbildungsunterricht eine auf Java basierende Anwendung, erst von CD und inzwischen online. Bei ersterer war das praktisch nur zu nutzen, wenn es auf Platte kopiert wurde, sonst hat sich das Ding in schöner Regelmäßigkeit aufgehängt.

Bei der jetzigen Version funktioniert es wie bei Elster bislang nur mit Oracles Java, die Laufzeitanwendung per Webstart mit IcedTea geht entweder gleich in´s Nirvana oder produziert eine Fehlermeldung. Die habe ich auch bereits an die Entwicklungs-Hotline gesendet und versucht, selbst durch eine speziell angepaßte Runtime hinzubiegen, aber bei meinen eher bescheidenen Programmierkenntnissen erfolglos (ein chinesischer Reiseführer ist da genauso zielführend;-).
Bei den Programmierern scheint der Sicherheitsaspekt nicht zu interessieren und die Hotline-Mitarbeiter leiten es auch nur weiter. Wenn sich da ein Windows-Nutzer über diesen Zimt eine Drive-by-Infektion kassiert, weil er eben mit veraltetem Plugin unterwegs ist - Pech gehabt:-( Der Knüller ist dann noch, dass die Anwendung nicht einmal zertifiziert ist und deshalb noch ein Untrust-Dialog abgenickt werden muß, zumindest komisch ist das für mich schon, aber wie gesagt, eine Reaktion habe ich bis jetzt noch nicht erhalten.

Bei Elster werden wir daher solange es geht, fein bei der Version mit Papier und Abgabe auf dem Finanzamt bleiben, wenn es nicht wie bei der Gesundheitskarte, dem biometrischen Ausweis usw. irgendwann erzwungen wird.

fakiauso
"Anyone who believes exponential growth can go on forever in a finite world is either a madman or an idiot (or an economist)" - Hellsongs
bei Antwort benachrichtigen
Die meinte ich mit Endanwender in diesem Fall. Eben. Und ... IRON67
Hi Da vermehrst Du jetzt etwas: OpenJDK wird über die ... fakiauso
Hö? Du meinst wohl "vermengst". Und nein, tue ich nicht. ... IRON67
Hi Auch wenn es jetzt wirklich OT wird: Da bin ich in s ... fakiauso
Jaja, die Bergbewohner .... Wie heißts bei euch? Arzgebirg, ... IRON67
Sollte es dann nicht "verm ä hrst" geschrieben werden? Alter68er
Das kommt auf die Stimmung an;-) fakiauso
... es geht auch noch besser. Ich habe in den Browsern Java ... Buddy1
> Deutsche Unternehmer sind also staatlich dazu verpflichtet ... Hassashin
Farcebook ist ne wirklich nette Wortschöpfung! Aber: Das ... winnigorny1
Lies langsamer! Er schrieb Farcebook ist die Pest des ... IRON67
aaah - ich werde alt! Danke für den Hinweis! winnigorny1
Und was wird an hochschulen gelehrt? Java! Welche entwickelr ... reader
In deinem Auto, wo sich die CPU 200ms Bedenkzeit einräumt ... BastetFurry
Es gibt Java-Implementierungen die harte Echtzeitbedingungen ... Borlander
Als eine von mehreren Sprachen Java ist eine ganze Menge, ... Borlander
Ich habe vor ein paar Wochen den Betreibern von Elster die ... mawe2
Irgendwie verstehe ich das nicht. Ich habe gerade eben mit ... Ventox
Wenn du kein Java installiert hast, dann MUSS diese Meldung ... IRON67
Ich hatte vor kurzem wegen der Sicherheitslücken alle ... Ventox
Na das ist doch nicht verwunderlich. Verwaiste ... IRON67
Daran hatte ich auch schon gedacht. Allerdings entfernt es ... Ventox
Das ist aber alles sehr seltsam bei dir. Ist Elster-Online ... IRON67
Ich habe die Elster Software installiert. Habe aber mal ... Ventox
Also gehts bei dir ausschließlich um die separat ... IRON67
Ich mache die Steuererklärung seit Jahren per Elster. Und ... Ventox
Wenn Du über Elster das Java-Applet aufrufst, erscheint ... mawe2
Das wär ein Knaller. Weia. IRON67
Ich kann diese Funktion in der Elster Software nicht finden. Ventox
Hat sich erledigt. In der Elster Version zum Installieren ... Ventox
Hallo Ventox! Was ist ein Sekundärvegetarier? Hört sich ... maxzwo1
Das ist jemand, der Tiere isst, die Pflanzen gefressen ... IRON67
Na, das nenne ich aber eine schnelle und aufschlussreiche ... maxzwo1
Das wäre lustig aber auch sehr beunruhigend. aldebuedel
Ich esse nur Tiere, die sich vegetarisch ernähren. ;-) Ventox
Naja, man muss aber schon mal sagen dass das Finanzamt da ... InvisibleBot
Nein. Aber als die Probleme unübersehbar groß wurden, ... IRON67
Anscheinend noch mehr Lücken in Java, die Kriminelle auch ... mi~we