Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple sperrt erneut Java-7-Plugin in Browser mithilfe von XProtect

Nachdem neue Sicherheitslücken in Java 7 bekannt geworden sind, verteilt Apple seit gestern automatisch ein aktualisiertes XProtect für OS X, welches die betreffenden Applet-Plugins im Browser sperrt. Angreifer erhalten dadurch keine Möglichkeit, über Java-Inhalte in präparierten Webseiten schädliche Programmanweisungen einzuschleusen und so die Kontrolle über Computer und Daten zu erlangen. Es ist bereits die zweite Java-7-Sperrung in diesem Jahr, nachdem Apple bereits vor einigen Wochen zu ähnlichen Maßnahmen greifen musste, um die potenzielle Gefahr für Mac-Nutzer gering zu halten.

Dabei hatte Oracle bereits mit der letzten Sicherheitsaktualisierung von Java 7 die Hürde für schädliche Java-Applets erhöht. So wurden nur noch Java-Inhalte mit einer vertrauenswürdigen Zertifizierung automatisch ausgeführt, während in anderen Fällen der Nutzer zunächst gefragt wird. Allerdings ließ sich dieser Schutz umgehen, sodass hier seitens Oracle eine Nachbesserung notwendig ist. Bislang ist von den genannten Sicherheitslücken nur Java 7 betroffen, weswegen ausschließlich Mac-Nutzer in Gefahr sind, die selbstständig Java 7 installiert haben. Java 6, welches Apple zuletzt mit OS X Lion ausgeliefert hat, kann vorerst weiterverwendet werden.

Aktualisierung:
Auch Java 6 wird mit dem aktualisierten XProtect blockiert.

Weiterführende Links:
Visa sah Apple als "existenzielle Bedrohung" an
Visa sah Apple als "existenzielle Bedrohung" an
Woche der Mac-Ankündigungen
Woche der Mac-Ankündigungen
M4 Max: Noch beeindruckendere Benchmark-Ergebnisse
M4 Max: Noch beeindruckendere Benchmark-Ergebni...
10 Jahre Yosemite-Design
10 Jahre Yosemite-Design
Qualitätsprobleme bei MacBook-Displays: Apple tauscht Zulieferer aus, fing Charge aber ab
Qualitätsprobleme bei MacBook-Displays: Apple t...
Ransomware eingefangen? Die meisten bezahlen ihre Erpresser
Ransomware eingefangen? Die meisten bezahlen ih...
watchOS 11: Apple trennt sich von vier Zifferblättern
watchOS 11: Apple trennt sich von vier Zifferbl...
AirPods Pro als Hörgerät: Sorge bei etablierten Herstellern, Aktienkurse reagieren
AirPods Pro als Hörgerät: Sorge bei etablierten...

Kommentare

STB
STB01.02.13 10:29
Langsam erinnern die Sicherheitslücken von Java stark an die elenden Sicherheitslücken von Flash.
Ein wirkliches Problem ist dabei die vorgeschriebene Steuererklärung über Elster-online:
Auch diese funktioniert über ein Java-applet, und nicht nur bei mir, sondern auch im Bekanntenkreis können die meisten Mac-user ihre Steuer nicht einreichen, da es einfach nicht funktioniert.
Die Herren vom Finanzamt haben Sicherheitsbedenken, Schuld sind angeblich Fehler in Safari und in Java. Oder auch gerne eine angebliche Cookie-Verweigerung. Nur komisch, dass es unter Windows und IE sicher(er) sein soll!
Anstatt eine einfache und sichere Lösung für alle OS zu präsentieren (viele Banken machen es vor), führt man sich hier auf wie die GEZ zu besten Zeiten.
0
macmuckel
macmuckel01.02.13 11:09
An Elster durfte ich mich die Tage auch erfreuen um mir ein neues Zertifikat zu erstellen.
Ea hat mit Safari geklappt, nachdem ich Cookies zugelassen und alle Erweiterungen deaktiviert habe.

Zum Glück muss man aber seine Daten dann nicht unbedingt auf der Seite einstellen!
Ich benutze dafür Winston: http://www.felfri.de/winston/
0
erko01.02.13 11:23
Nach dem Umstieg auf OS 10.8 dachte ich, dass ich Java nicht brauche und habe es nicht installiert. Elster benutze ich auch nicht, das macht der Steuerberater, was sich aber auch mal ändern kann. Aber es gibt eine Sache, auf die kann ich dann doch nicht verzichten: den Zeitenmonitor der Formel 1.
Also habe ich Java auf unserem unwichtigsten Rechner installiert. Allerdings ist der natürlich mit meiner iCloud verbunden und greift per IMAP auch auf meine Mailkonten zu. Können sich Schädlinge auch darüber verbreiten?
0
Trotzki01.02.13 11:48
Ist es wirklich so schwer, Java in allen Browsern zu deaktivieren, und wenn man die Steuersachen macht, mal kurz zu aktivieren (und danach wieder zu deaktivieren)?
0
Yoschi01.02.13 11:53
Negativ. Seit gestern gehen auch keine Java Anwendungen mehr mit Java 6 Update 11 unter 10.6.8
Wenn man eine Java Anwendung öffnen möchte. Erscheint "Blockiertes Plugin" wie auch vor ein paar Wochen schon. Nur wenn man jetzt drauf klickt öffnet sich die Softwareaktuallisierung. Die aber keine Updates findet. Zuvor konnte man mit dem Klick auf "Blockiertes Plugin" ja das Java Plugin wieder aktivieren für den Browser.

Nun geht gar nichts mehr. Jemdan eine Idee ? Abgesehen von Update auf OSX 10.7 oder 10.8 oder einfach kein Java nutzen. Ist beides schwer bei sovielen usern
0
Tope01.02.13 11:59
Wir haben ebenfalls seit gestern massive Probleme mit Java Web Start auf Java 1.6 und OSX 10.6.8

Beim versuch Java Web Start zu starten erhalte ich nur die folgende Ausgabe:

Java Web Start splash screen process exiting ...
Can not find message file: No such file or directory

Bei Macs mit OSX 10.7+ kann ich mir helfen indem ich Java 7 installiere.
Bei älteren Macs jedoch geht die Anwendung im Moment nicht.
0
olbea01.02.13 12:39
So ein S***** schon wieder kann ich meine Steuer bei Elster nicht machen.
Langsam nervt es.
Jeden Monat muss ich meine Umsatzsteuervoranmeldung abgeben.
Es kostet Strafe, wenn das zu spät geschieht.
Verlässlich ist das für mich nicht.
0
macparc
macparc01.02.13 12:53
Wer unbedingt Java benutzen muss, kann sich die Developer Preview 7u12 Build b08 installieren - erhältlich unter:

http://jdk7.java.net/download.html

Allerdings dürfte diese Version die gleichen Sicherheitsprobleme aufweisen, wie die eben geblockte Version.


Christian
0
Yoschi01.02.13 13:10
kleiner workaround für alle Java 6 User unter 10.6.8

Im Terminal ausführen
sudo /usr/libexec/PlistBuddy -c "Delete :JavaWebComponentVersionMinimum" /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist

und anschließend
Unter Mac OS X 10.6.x, öffnen Sie "Sicherheit" in den Systemeinstellungen und deaktivieren Sie “Automatische Liste mit sicheren Downloads aktualisieren“.

zumindest solange bis es ein Update von Apple gibt.
0
Gerhard Uhlhorn01.02.13 14:08
Wenn sich die Bürger millionenweise weigerten diese unsichere Software des Finanzamtes zu nutzen, und stattdessen die Finanzbehörde aufforderten eine native Software zu schreiben, dann wäre der Spuk bald vorbei. Aber wir lassen es ja mit uns machen.
0
ratti
ratti01.02.13 16:12
Gerhard Uhlhorn
native Software

Genau, eine für Windows, eine für Mac OS X, eine für Linux, eine für Android, eine für iOS, eine für… …oder, lass mich raten - deine Plattform reicht ja erstmal?

Man kann natürlich das Kind mit dem Bade ausschütten.

Oder man fixt einfach das Problem, die Möglichkeiten dafür sind ja nun wahrlich vielfältig: Das Loch stopfen (ja, Oracle macht da keinen guten Job, und Apple macht es sich leicht), Java nur partiell aktivieren (z.B. indem man Firefox nutzt und per AddOn eine einzelne Site whitelistet), oder im Browser Java einfach global an- oder ausschalten, in Firefox ein Knopfdruck. Ich kenne Elster nicht, aber für Proxmox mache ich es so.
0
Gerhard Uhlhorn01.02.13 16:19
ratti: Windows und OS X decken 99 % aller Desktop-PCs ab, und damit mehr als Java. Denn Java ist auf viel weniger Systemen installiert.

Und wenn es bereits eine native OS-X-Software gibt, hat man auch gleich schon eine iOS-Software, nur dass das Interface noch an Fingerbedienung angepasst werden muss.
0
STB
STB01.02.13 16:49
Trotzki
Ist es wirklich so schwer, Java in allen Browsern zu deaktivieren, und wenn man die Steuersachen macht, mal kurz zu aktivieren (und danach wieder zu deaktivieren)?
Die Elster-Fehlermeldungen setzen sich hartnäckig fort, egal ob man Java aktiviert oder nicht, egal ob man cookies erlaubt oder nicht. Mit der letzten Java-version hat es kurz funktioniert, aber das ist ja auch schon wieder Geschichte.
Es ist schon eine Zumutung seitens des Finanzamts, wie hier mit Mac-Usern umgesprungen wird. Ein Bekannter hat jetzt Widerspruch gegen die erteilte Strafzahlung eingelegt, da es ihm nicht möglich war, seine Steuer fristgerecht am Mac abzuliefern.
0
ratti
ratti01.02.13 17:55
Gerhard Uhlhorn
ratti: Windows und OS X decken 99 % aller Desktop-PCs ab, und damit mehr als Java. Denn Java ist auf viel weniger Systemen installiert.

Und wenn es bereits eine native OS-X-Software gibt, hat man auch gleich schon eine iOS-Software, nur dass das Interface noch an Fingerbedienung angepasst werden muss.

Das war jetzt die lange Version von „Hauptsache meine Plattform. Na gut, und Windows auch. Und wenn iOS+OSX auch weniger ist als die Android Plattform - egal.“

Abgesehen davon dass das …nicht nett ist… :

Nach allgemeinem dafürhalten ist die Standard-Plattform der Zukunft nicht MS-irgendwas oder OS-Sonstwas, sondern „Plattformübergreifend“ und „Browserbasiert“. Man muss keine gewagte Prognose abgeben, um zu erwarten, dass Erika Mustermanns „Rechner“ in einigen Jahren ihr Full-HD-Plus-Fernseher mit angehängtem Smartphone dran sein wird (es wird nur anders heissen).

Die Rechnung geht daher anders: „Windows 8 (auch Phone, auch RT), Mac OS X, Android, Firefox OS, Blackberry, …Läuft überall. Ausser iOS. Auch dort gern, wenn Apple es erlaubt.“

Und da war die Entscheidung für Java schon mal goldrichtig. Wie stellst Du dir das vor? Das bei jeder Änderung alle Plattformen gepflegt werden, und wenn in einer davon ein Bug ist, bekomme ich unter Windows weniger Geld zurück als unter Linux?

Und ja, Oracle ist derzeit einfach …unterirdisch…. Aber die Zeit der nativen Applikationen ist definitiv langsam vorbei.
0
Gerhard Uhlhorn01.02.13 18:33
STB
Ein Bekannter hat jetzt Widerspruch gegen die erteilte Strafzahlung eingelegt, da es ihm nicht möglich war, seine Steuer fristgerecht am Mac abzuliefern.
Das werde ich auch machen, und so sollten wir das alle machen – zur Not auch den Rechtsweg beschreiten!
0
Gerhard Uhlhorn01.02.13 18:40
@ ratti: Ja, gerne, aber dann bitte nicht auf eine unsichere Plattform setzen! Oder zumindest Alternativen erlauben.
… und wenn in einer davon ein Bug ist, bekomme ich unter Windows weniger Geld zurück als unter Linux?
Dieses Argument ist unsachlich, denn Elster macht keine Berechnungen, sondern sorgt nur die die Übermittlung der Daten.

Es geht nur darum eine dokumentierte Datenschnittstelle zu haben, und dass es einen nativen Client für die wichtigsten Systeme gibt. So ein Verfahren ist relativ sicher und so einfach zu schreiben, dass ein halbwegs erfahrener Programmierer das an einem halben Arbeitstag macht.
0
Marcel_75@work
Marcel_75@work02.02.13 00:31
Mittlerweile gibt es "ganz offiziell" Version 7 Update 13, aber auch dieses Update zeigt mir im Safari noch "fehlendes PlugIn", obwohl Java aktiviert ist in den Einstellungen ...
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.