Toll und das, nachdem es seit April bekannt war!

Was man so 'vorgezogen' nennt ... die Lücke ist seit Monaten bekannt.

Oracle halt.

Muss man Java-Updates jedesmal drüberinstallieren? Keine Art von Auto-Update? finde nichts im System

Hmmm

Ist schon lustig, erst wird über Apple gemosert, dass sie es mit der Java-Aktualisierung etwas schleifen lassen, dass sämtliche Themen darüber den Rahmen sprengen und jetzt will sich Apple dies nicht mehr antun mit den Aktualisierung für fremde Hersteller und selbst die, lassen auch so einiges schleifen ...

Geht das auch über die System Aktualisierung?

Ist zwar OT, aber wie habt Ihr Java 7 zum Laufen bekommen? Hatte das Java 6 von Apple und nach der Installation von Oracles JDK 7 moserte JDownloader herum und ließ sich nicht starten. Woran liegt's?

Nein. Java SE7 ist (zur Zeit noch?!) eine komplett "externe" Installation, auch wenn Apple-Mitarbeiter bei der Erstellung mithelfen, daher gilt genau das gleiche wie bei Microsoft Office, Adobe-Programmen oder was auch immer: Entweder die Software bringt ihren eigenen Update-Mechanismus mit, oder man muß jedes Mal von der Webseite die aktuelle Packung ziehen und installieren.

Mir ist nicht bekannt, ob Java SE7 für Mac (schon) einen eigenen Update-Mechanismus mit dabei hat. sierkb, bitte melden!

http://www.oracle.com/technetwork/java/javase/downloads/jdk7u7-downloads-1836413.html

Das JDK hat sogar ein PrefPane inkl. Updatefunktion

Na, das ging jetzt aber schnell, nachdem IcedTea Java , grad' einen Patch vorgelegt hat , da brauchte Oracle denen ja jetzt nur noch zuzugreifen…

Gleichzeitig neben dem Java7u7 Zwischen-Update hat Oracle ein Zwischen-Update für Java 6 rausgebracht, Java 6 Update 35 (1.6.0u35), welches auch dort dieselbe derzeit bisher nur unter Java 7 beobachtete und ausgenutzte Lücke CVE-2012-4681 schließt.

Apples Java 6 ist derzeit auf dem Stand von Java 6 Update 33 (1.6.0u33), Apple hat also was nachzuholen. Wir dürfen gespannt sein, wann das geschieht.
Apples Java-Verantwortlicher, Mike Swingler ist bis zum 04.09. noch in Urlaub. Und dann muss das Ganze ja noch im ADC-Bereich den Entwicklern zum ausgiebigen Testen vorgelegt werden -- erfahrungsgemäß dauert das Monate, bis es den ADC-Download-Bereich verlässt und dann per Softwareaktualisierung endlich an alle Mac-Nutzer ausgeliefert wird. Und im ADC Download-Bereich liegt derzeit noch nicht mal das Anfang August von Oracle herausgegebene Java 6 Update 34 (1.6.0u34) zum Testen für die Entwickler bereit. Seit heute dann halt für die Mac-Entwickler zu testen: Java 6 Update 35 (1.6.0u35). Wenn sie es denn dann mal irgendwann zum Testen vorliegen haben.


Release Notes Java 7:
Release Notes Java 7u7:
Release Notes Java 6:
Release Notes Java 6u35:

In beiden Fällen gleichlautend:


Zudem dürfen wir gespannt sein, wann die zahlreichen anderen seit April gemeldeten und noch offenen Lücken gefixt sein werden, die außerdem jetzt gefixten 0day CVE-2012-4681 noch existieren und ob das noch geschieht, bevor sie ausgenutzt werden und zum 0day mutieren oder ob es erst mal wieder so eng und brenzlig werden muss wie jetzt und die erst dann gefixt werden, wenn die dort reingreifenden 0day Exploits sich verbreiten, so wie es jetzt mal wieder geschehen ist. Anscheinend reagiert Oracle, ähnlich wie Apple, immer erst dann, wenn das Kind schon in den Brunnen gefallen ist und ihnen die 0days und die schlechte Presse ihnen um die Ohren fliegen. Anstatt es soweit gar nicht erst kommen zu lassen und frühzeitig/frühestmöglichst zu fixen, immerhin weiß Oracle da von einer ganzen Latte an Sicherheitslücken bereits seit April, hat mit dem vorangegangenen Update davon nur einen Bruchteil abgearbeitet, hat jetzt diesen 0day vorliegen, weil sie zu lange damit gebraucht haben und hat noch eine ganze weitere Latte an zu schließenden und bekannten Lücken vor sich. Mal sehen, wann der nächste 0day ins Haus steht, Potential scheint da ja vorhanden zu sein. Es sei denn, Oracle beeilt sich endlich mal.

Gibt es diese Lücke auch für Java für 10.6?

Nicht das JDK, das JRE. Sprich: das JavaPlugin das in /Library/Internet Plug-Ins verfrachtet wird. Und welches en JRE beinhaltet.
Der JDK-Installer beinhaltet zweimal ein JRE: einmal als Bestandteil der JDK-Installation und liegend als Bestandteil des JDK unter /Library/Java/JavaVirtualMachines/jdk1.7.0_06.jdk/Contents/Home/jre/.
Das hat keine Auto-Update-Funktion.

Und nebem diesem JDK installiert der JDK-Installer auch noch das JavaPlugin unter /Library/Internet Plug-Ins. Dessen eigentlicher Hauptbestandteil wiederum ein JRE ist, also die Hauptkomponente, die für Benutzer überhaupt interessant ist. Und genau dieses JRE an dieser Stelle, das hat einen Auto-Updater. Und zwar einen wohlbekannten und sehr verbreiteten: Sparkle , , (/Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Frameworks/Sparkle.framework).

Siehe zuvor Gesagtes.
Das JRE hat (seit kurzem, seit Java7u6), das JDK hat (noch?) nicht. Der Installer für das JDK bringt sowohl das JDK als auch das JavaPlugin (JRE) mit und installiert beide. Der Installer für das JRE installiert nur das Java-Plugin (inkl. dessen JRE).

Info am Rande: Bis vor kurzem gab es das JavaPlugin als 3. Installationsvariante nicht nur im Developer Preview-Bereich sondern sogar unter den offiziell für jedermann freigegebenen Oracle Download-Adressen auch solo als Drag&Drop (JavaAppletPlugin.dmg) zum Reinziehen in /Library/Internet Plug-Ins, doch ist das nicht offiziell verlinkt und wurde nicht offiziell angeboten, konnte aber erworben werden, wenn man den URL-Teil zum Download entsprechend geändert hat. Beim letzten Update Java7u6 war das noch möglich, jetzt bei diesem heutigen Java7u7 klappt's damit nicht mehr (hab's eben versucht).

Scheint so bzw. offenbar dann wohl auch dort (entgegen allen bisherigen Verlautbarungen, die man so lesen konnte). Sonst hätte Oracle wohl kaum auch dort ein diesbzgl. Update gemacht, welches die bei Java7 entdeckte 0day-Lücke bzgl. CVE-2012-4681 auch bei Java6 fixt, siehe auch die verlinkten Release Notes zu Java6 Update 35 (1.6.0u35).

Ist Java 6 auch betroffen?

Interessant auch folgende, wohl mit den aktuellen Geschehnissen unmittelbar zusammenhängende frische Mitteilung Oracles in der jdk7u-dev-Mailingliste von OpenJDK:

[7u communication] Reordering of jdk7u release versions :

Sprich:
Entgegen der ursprünglichen Planung wird das nächste Security-Update nicht erst am 16. Oktober 2012 erscheinen, sondern noch davor (da kommt also seitens Oracle noch ein weiteres Security-Update vor dem eigentlich und frühestens geplanten 16. Oktober, vermutlich setzt sich Oracle jetzt endlich hin und arbeitet endlich die ganzen seit April diesen Jahres bislang noch nicht gefixten Sicherheitslücken ab, damit so ein 0day wie jetzt die Runde machend nicht gleich noch einmal passiert). Und es wird nicht Java7 Update 8 heißen, sondern Java7 Update 9. Und das nächste reguläre Non-Security-Update wird dann Java7 Update 10 heißen statt Java7 Update 8. Update 8 von Java 7 wird also übersprungen, ein Update 8 wird es also nicht geben (siehe auch die Antwort, die Andrew Hughes des Linux-Distributors Red Hat auf entspr. Nachfrage bekommen hat).

Oracle hat also offenbar den (Warn-)Schuss gehört, verstanden und zieht nun erste richtige Konsequenzen aus den aktuellen Geschehnissen: nämlich mit Security-Updates nicht zu warten bzw. diese nicht nach einem starren lange vorher festgelegtem Fahrplan auszurichten, sondern diese dann zu tätigen und Updates rauszugeben, wenn sie sicherheitstechnisch geboten sind.

Und wo genau finde ich den Download für 10.6?

Ich ziehe meine diesbzgl. Äußerung/Interpretation der Mitteilung zurück. Ich glaube ich habe sie leicht missverstanden und in meiner aufkeimenden Hoffnung zuviel Positives hineininterpretiert. Denn nach nochmaligem Durchlesen kann sie (und wird sie wohl) eher heißen: alles bleibt beim alten, alle gesteckten Termine bleiben, nächster normale Release-Termin Ende des Jahres, ungerade Security-Updates wie veranschlagt (und wie veranschlagt vor den gradzahligen Release-Terminen, der nächste Security-Patch am 16. Oktober), keine diesbzgl. Änderungen, lediglich die Update-Nummern ändern sich leicht aufgrund dieses jetzt erfolgten Zwischen-Updates (Update 8 wird zu Update 10, und Update 10 erscheint Ende des Jahres). Vorher wird Update 9 als Security-Update erscheinen, wie vorausgeplant am 16. Oktober. Nächstes Security-Update danach dann nach dem erfolgten Update 10, also am 19. Februar 2013.

So wird's wohl sein.
Entschuldigung für die vorangegangene Missdeutung.

Für Java 6, welches unter 10.6 noch das Java der Wahl ist und selbst auch noch unter Lion Dir von Apple angeboten wird, wenn Du nix dergleichen installiert hast und eine Java-Anwendung danach erstmalig fragt, ist einzig und allein noch Apple zuständig.
Java7 von Oracle ist ein reines Intel-64bit Java, kein 64bit/32bit Universal Binary, ist also auf 32bit-Systemen nicht lauffähig. Deshalb die Mindestanforderung seitens Oracle: Lion.
Theoretisch aber auch auf Snow Leopard lauffähig, schließlich kann man auch unter Snow Leopard 64bit-Anwendungen fahren. Allerdings auf eigene Gefahr hin und von Oracle nicht unterstützt, sollte es dennoch zu Problemen kommen. Ausprobieren.

Die OpenJDK Community Builds (auf denen Oracles JDK basiert und die bis auf unbedeutende Änderungen seitens Oracle nahezu identisch sind mit Oracles Java) hingegen, werden hier: , jedoch auch als 32bit/64bit Universal Binary angeboten. Lediglich das JavaPlugin kann darüber (noch nicht) angeboten werden, weil es noch nicht vollständig Open-Source ist und noch proprietären Code enthält, den nur Oracle und Apple veröffentlichen dürfen. Es ist aber seitens Oracle geplant und zugesichert, dass auch das Open-Source werden soll (bloß wann?), und dann kann es auch von jedem anderen angeboten werden.

Die 64bit-only-Entscheidung ist eine rein politische Entscheidung seitens Oracle mit "Basta!"-Faktor, sie hat keinen technischen Hintergrund, und es gab in der Macport OpenJDK-Community deshalb im Vorfeld auch viel Protest seitens der Entwickler über diese völlig willkürliche und nicht notwendige Entscheidung. Aber Oracle wollte hart bleiben und will 64bit-only anbieten, Apple stärkte denen den Rücken dabei. Beide verwiesen auf das verlinkte OpenJDK-Projekt als Alternative oder Selberbauen. Allerdings ließ Oracle nach soviel Protest dann doch offen und gab einen Hoffnungsschimmer, dass sie eventuell und unter Umständen geneigt sein könnten, wenigstens das populäre JRE7 als 32bit/64bit Universal Binary anzubieten. Bisher sieht es aber nicht danach aus, bisher heißt es aus dem Hause Oracle: 64bit-only. Und Apple ist sowieso insgesamt auf dem 64bit-Tripp und schaut nicht zurück.

Also: ausprobieren, ob Oracles JDK7/JRE7 nicht auch tadellos unter Snow Leopard als 64bit-Anwendung läuft. Müsste eigentlich. Der Installer des JDK/JRE beinhaltet meines Wissens diesbzgl. auch keine Abfrage. Ansonsten halt die OpenJDK Community Builds nehmen, falls man als Entwickler das unbedingt so will und auf das JavaPlugin für Java 7 verzichten kann.

Heise (30.08.2012): Oracle reagiert mit Notfall-Update auf Java-Schwachstelle (Update)

Oracle Software Security Assurance Blog: Security Alert for CVE-2012-4681 Released

Details:

Oracle Security Alert for CVE-2012-4681 ,

Oracle: Text Form of Oracle Security Alert - CVE-2012-4681 Risk Matrices

In Bezug auf das nötig gewordene Java 6 Update 35 und die dort in dem Zusammenhang wie bei Java 7 gefixte Lücke CVE-2012-0547 folgende Notiz seitens Oracle:
(to aggravate = verschlimmern, verstärken, verschärfen)

Ih habe unter OS X 10.7.4 nun das verlinkte Image geladen und installiert.
Gebe ich im Terminal nun "java -version" erhalte ich die Meldung
"java version "1.6.0_33"
Java(TM) SE Runtime Environment (build 1.6.0_33-b03-424-11M3720)
Java HotSpot(TM) 64-Bit Server VM (build 20.8-b03-424, mixed mode)"
Die App "Java-Einstellungen" weist Java SE 6 von Apple aus - 1.6.0_33-b03-424

Öffne ich im Web-Browser die Adresse http://javatester.org/version.html erhalte ich für Safari und Firefox die Meldung "1.7.0_07 from Oracle Corporation" - bei Opera erscheint gar nichts.

Sollte ich die alten (Apple) Java Versionen entfernen? Am besten wie? Muss dann noch irgend etwas nach-installiert werden, oder beinhaltet das oben verlinkte Oracle Image auch alle Bibliotheken für Programme außerhalb der Web-Browser?

und
hängen unmittelbar miteinander zusammen.

Öffne /Applications/Utilities/Java-Einstellungen.app und tausche die Plätze Deiner Java-VM bzw. schiebe die von Dir gewünschte Oracle Java 7 VM an die oberste Stelle. Damit machst Du dem System bekannt, dass Dein JAVA_HOME nicht Apples Java6 sondern Oracles Java7 sein soll.

Danach sollte auch ein "java --version" bzw. "/usr/libexec/java_home --exec java -version" Dir Oracles Java 7 als präferiertes Java ausgeben.

Was auch richtig ist und kein Wunder, denn Oracles Java7-Installer hat Dein Java-Plugin (welches vorher von Apple war bzw. ein Symlink war auf Apples JavaPlugin) bzw. den unter /Library/Internet Plug-Ins existierenden Symlink ersetzt durch sein eigenes JavaPlugin (welches wiederum imwesentlichen aus folgenden Komponenten besteht: JRE, PrefPane, Sparkle Auto-Updater).

Was sagt "Opera Extras Weiteres Plug-ins" (oder auch opera:plugins in die Adresszeile eingeben)?

Zudem mal mit Opera diese Test-Webseite ansteuern:

Java.com: Wie teste ich, ob Java auf meinem Rechner funktionsfähig ist?

Nein, das würde ich lieber bleiben lassen. Apples Java ist verstreut auf mehrere System-Verzeichnisse, welche Du zum Teil (noch) zum klaglosen Betrieb von Java7 unter OSX benötigst.
Apple hat alles so eingerichtet, dass Du klag- und schadlos beliebig viele Java-Installationen von beliebig vielen Herstellern parallel installieren und betreiben kannst.

Das Einzige, was die Oracle Installation ersetzt, ist das JavaPlugin (welches eine JRE enthält) für den Browser, und da ersetzt es auch nicht das Plugin selber, sondern an gegebener Stelle nur einen Symlink darauf und nicht physisch das Plugin. Wie Du da bei Bedarf wieder den Urzustand herstellen und den alten Symlink auf Apples immer noch im System verankertes JavaPlugin (da wird von Oracle diesbzgl. nämlich nix Wichtiges gelöscht, das ist noch alles im System vorhanden) wiederherstellen kannst, das steht bei Oracle in deren Mac FAQ , , , .

@ sierkb

Was ist mit Java-Anwendungen a la JDownloader, die nicht über das Safari-Plugin laufen? Wie bekomme ich die mit Java 7 an den Start?

wo kann ich das Java Plugin aus/einschalten? im Safari Sicherheit Java aktivieren Hacken raus scheint nicht zu funktionieren denn dann sollte auf dieser Seite der Konfigurator nicht mehr zu benutzen sein, tut es aber, bei der version 6 konnte ich bei der Javaeinstellung das Plugin aus und einschalten, was nun?

Weiß schon jemand, ob man mit der neuen Version auch das Online-Frankier-Applet von DHL ausführen kann?

@ Phoen: Dafür brauchst Du kein Java mehr. DHL hat glückicherweise wieder auf PDF umgestellt

sierkb

Zunächst einmal herzlichen Dank dafür, dass Du Dir die Zeit nimmst auf meine Fragen zu antworten.


Für mich besteht das Problem nun darin, dass die Java-Einstellungen lediglich zwei Java-Einträge von Apple zeigt - die 7er Version von Oracle taucht nicht auf, sodass ich diese auch in der Prioritätenliste nicht verschieben kann.
Watt nu?

LG A.

Vergessen zu sagen, dass das nur geht, wenn man das Oracles JDK (incl. JRE) installiert hat und nicht nur das JRE (JavaPlugin) alleine.

Siehe auch die Antwort vom heute auf Apples java-dev Mailingliste auf eine gleichlautende Frage:

Re: jdk1.7.0_07 not visible in Java Preferences .

Und bzgl. Oracles Java-Plugin (als das JRE) unter /Library/Internet Plug-Ins:
Das taucht in Oracles Java-Einstellungen von deren neuen Einstellungs-Dialog auf:

Systemeinstellungen Sonstige Java
und dann:
Java Control Panel Java Ansicht

Leider lässt sich dort das von Oracle installierte JavaPlugin derzeit nicht deaktivieren (man sollte es bei Bedarf also individuell im Browser tun, die Browser bieten das ja jeweils an), und leider wird dort derzeit nur das JavaPlugin angezeigt und nicht die im System evtl. installierten JDKs (Apples Java-Einstellungen zeigen somit derzeit was an, dass Oracle Java Control Panel noch nicht anzeigt: nämlich das Vorhandensein eines oder mehrerer JDKs, die in /Library/Java/JavaVirtualMachines liegen. Und Oracles Java Control Panel zeigt grad' an, was Apples Java-Einstellungen nicht anzeigen: nämlich das Vorhandensein eines Java-Plugins mit eingebettetem JRE, welches unter /Library/Internet Plug-Ins abgelegt worden ist. Derzeit braucht man also beide Einstellungs-Applikationen. Bei einem der nächsten Java-Updates werden Apples Java-Einstellungen aber verschwinden, dann gehen alle diese Einstellungen auf Oracles Java Control Panel über, dafür sorgt Apple bzw. die Zusammenarbeit von Apple mit Oracle, das hat Apples Java-Verantwortlicher vor wenigen Tagen schon angekündigt.
Oracles Control Panel (welches selber ein plattformübergreifendes Java Applet ist), muss noch an einigen Ecken speziell an die Mac-Umgebung etwas angepasst werden. Dass das, so wie es jetzt aussieht und geartet ist, noch nicht der Weisheit letzter Schluss ist, ist bekannt und das steht auch noch auf der Todo-Liste von Oracle. Das dürfte/sollte sich aber in Bälde ändern.

sierkb

Vielen Dank - ich habe mir nun von der Seite die Datei jdk-7u7-macosx-x64.dmg heruntergeladen und installiert!

Nun konnte ich - wie von Dir vorausgesagt - in "Java-Einstellungen" die neue Version in die oberste Zeile verschieben, und nun bekomme ich auch nach Abfrage über das Terminal mit "java -version" die erhoffte Antwort, dass die installierte Version 1.7.0_07 ist!

Auch in Opera funktioniert Java nun wie gewünscht!



Letzte Frage meinerseits: Macht es Sinn / ist es erforderlich in "Java-Einstellungen" die älteren Versionen (V. 6 von Apple) durch Abwählen zu deaktivieren?

Herzlichen Dank,

A.

Nutzt hier jemand Chrome unter OS X? Wie bekommt ihr Jaba da zum Laufen? Mir ist das bis jetzt nicht gelungen!

Also bei mir nicht. Zwischenzeitlich hatten sie mal auf pdf umgestellt. Aber ich bekomme die DHL versandsscheine wieder per Applet. Daher nochmals die Frage, ob das mit der neuen Version geht?