Blog

Sicherheitslücke: Mozilla blockiert Java 7 Update 7

Verfasst von: Sören Hentzschel

Sicherheitslücke: Mozilla blockiert Java 7 Update 7

Mozilla hat Java 7 Update 7 auf die Blocklist gesetzt. Damit wird das Oracle-Plugin automatisch bei allen Firefox-Nutzern, welche diese Version installiert haben, deaktiviert.

Alle Jahre Wochen wieder macht Java wegen diverser Sicherheitslücken auf sich aufmerksam. In diesem Fall handelt es sich bei Java 7 Update 7 zugegebenermaßen um keine aktuelle Version, diese ist Stand heute nämlich Java 7 Update 9 und hiervon nicht betroffen. Da eine in Java 7 Update 7 vorhandene kritische Sicherheitslücke aber aktiv ausgenutzt wird und es potentiellen Angreifern erlaubt, das System des Benutzers zu kompromittieren, blockiert Mozilla diese ab sofort (Windows, Mac OS X, Linux).

Vor allem aus Gründen der eigenen System-Sicherheit sollten Plugins immer auf dem neusten Stand gehalten werden. Der Plugin-Check von Mozilla hilft dabei, die wichtigsten installierten Plugins auf ihre Aktualität hin zu überprüfen. Dies funktioniert übrigens nicht nur mit Firefox, sondern auch mit anderen Browsern.

Für einen besseren Schutz lassen sich Plugins auch auf Click-to-Play schalten. Dann werden Plugins standardmäßig nicht geladen und können bei Bedarf explizit vom Benutzer aktiviert werden.

Nach diesen Begriffen suchten die Benutzer:

  • Jave anwendung durch Sicherheitseinstellung blokiert
  • java platform se 7 u plugin download
  • java platform se 7 u plugin download
  • firefox java anwendung blockiert
  • selbstsignierte Anwendung zulassen Firefox
  • java (TM) platform se 7 u 51
  • java(tm) platform se 7 u51 download
  • anwendung durch sicherheitseinstellungen blockiert ama
  • anwendungen durch sicherheitsanwendung blockiert
  • firefox anwendung furch sicherheitseinstellungen blockiert
  • java lokale anwendungen zulassen
  • von firefox gesperrte java versionen
  • blockierte Anwendung in firefox
  • java tm platform se 7 aktivieren
  • java deployment toolkit firefox
  • sicherheitseinstellunge selbstsignierte anwendungen
  • firefox java plugin SE 7 U51
  • Java(TM) Platform SE 7 U51 soll bei Firefox aktualisiert werden
  • Java(TM) Platform SE 7 U51 soll bei Firefox aktualisiert werden
  • Java(TM) Platform SE 7 U51 soll bei Firefox aktualisiert werden
  • anwendung durch sicherheitseinstellung blockiert java
  • anwendung durch sicherheitseinstellung blockiert java
  • anwendung durch sicherheitseinstellung blockiert java
  • selbstsignierte anwendung blockiert
  • firefox blockiert java
5


Kommentare

  1. TennoDiablo  23. November 2012, 01:12

    Adobe und Oracle sind so ziemlich die grausamsten Unternehmen im IT-Bereich, wenn es um die Sicherheit geht. Egal ob Flash Player, Reader oder Java, grundsätzlich ähnelt keine andere Software so sehr dem Schweizer Käse wie die Tools dieser beiden Firmen (und das, obwohl man bei Adobe durch Programme wie Photoshop oder Dreamweaver eigentlich ne sehr hohe Qualität gewohnt ist, naja…).

    Am Liebsten würde ich Air, Flash Player, Shockwave, Reader und die Java-Updates entweder (teilweise ersatzlos) deinstallieren oder in eine Sandbox sperren, die vielen Meldungen über kritische bis sehr kritische Sicherheitslücken machen mir wirklich Sorgen. Wo es geht, werde ich das bald auch machen (Air brauche ich nicht, für PDFs gibt Open Source glücklicherweise genug Alternativen her). Nur weiß ich nicht, inwieweit ich Shockwave ersetzen/”einsperren” kann/muss und solange Mozilla nicht Shumway fertig hat bzw. etliche Programme auch Java Runtimes voraussetzen, kann man die beiden schlimmsten Programme, den Flash Player und Java, wohl kaum nachhaltig ersetzen.

  2. Sören Hentzschel  23. November 2012, 01:25

    Bei Flash wird es teilweise wirklich schwierig das zu ersetzen beziehungsweise darauf zu verzichten. Aber PDF lässt sich durch Mozillas auf JavaScript basierenden PDF-Betrachter ersetzen (about:config > pdfjs.disabled > false; dürfte auch irgendwann standardmäßig aktiviert werden) und auf Java verzichte ich schon seit sehr langer Zeit komplett. Ich kenne nicht viele Seiten, welche Java zwingend benötigen, persönlich habe ich es noch nie auch nur auf einer einzigen Webseite benötigt. Mir ist klar, dass es solche Seiten gibt (ich meine, unter anderem irgendein Dienst von der Post setzt Java zwingend voraus), aber das sind glücklicherweise deutlich weniger als Flash. Meiner Meinung nach kann man es ohne Java versuchen. Man muss es ja nicht komplett deinstallieren und kann es auch einfach deaktiviert lassen, so dass es sich im Falle eines Falles schnell wieder aktivieren lässt.

  3. TennoDiablo  23. November 2012, 01:35

    Wundert mich etwas, weil auch bei Mozilla ja HTML 5, CSS 3 und zumindest JavaScript als wichtige zentrale Elemente in der weiteren Strategie gelten, sieht man ja auch vor allem bei Boot 2 Gecko ja sehr gut.

    Im Web mag man auf Java dann weitgehend verzichten können, wenn es um das lokale System geht, siehts dann aber doch anders aus. Einige Programme gerade aus dem Open Source Bereich (z.B. der TV-Browser) setzen zwingend Java Runtimes voraus. Für jemandem, der wie ich sehr deutlich auf der Seite von OS steht (auch wenn ich nicht nur solche Programme verwende), ist das schon ein Hindernis. Aber da hilft wohl nur die gute alte Methode per Ausschlussverfahren: Programme durchchecken, Java-abhängige rausfinden und Alternativen suchen *seufz* Ich freu mich schon auf den Tag, an dem wir wirklich ne pluginfreie Zone sind und Sachen wie WebRTC sich vollständig durchgesetzt haben.

  4. Blubberbart  23. November 2012, 08:58

    Das liegt letztlich an der Komplexität dessen, was die Plugin-Anwendung imstande ist zu leisten. Kompletter Interpreter/VMs wie Acrobar-Reader, Java, Flash oder ActiveX sind nicht “sicher” zu bekommen. Irgendwas findet sich da immer! Solche Programme 100% sicher zu bekommen wäre 100% Bugfreier Software gleichzusetzen.

    Ich habe das für mich so gelöst, dass ich eben Flash und Konsorten nur auf ausdrücklichen Klick hin starten lasse. Dann kann sich zumindest nichts automatisch mit dem Seiten laden einnisten.

Kommentar hinzufügen

E-Mail-Benachrichtigung bei weiteren Kommentaren.