Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Warnung vor Java-basiertem Angriff

In einem Sicherheitsdokument warnt Microsoft vor einem Java-basierten Angriff, der einen Logikfehler im plattformübergreifenden Framework ausnutzt, um schädliche Programmanweisungen außerhalb der Sandbox auszuführen. Wie Sicherheitsexperte Brian Krebs in seinem Blog erklärt, wurde der Angriff mittlerweile in verschiedenen Exploit-Packs wie dem weitverbreiteten BlackHole integriert.

Während Oracle die ausgenutzte Sicherheitslücke mit Version 1.6 Update 31 und Version 1.7 Update 3 geschlossen hat, berichtet Krebs von Aktivitäten in der einschlägigen Szene, die darauf schließen lassen, dass möglicherweise eine ähnliche oder weitere Sicherheitslücke besteht. Mac-Nutzer sind unabhängig davon gefährdet, da Apple als aktuellste Java-Version 1.6 Update 29 bereitstellt, welche vom vergangenen Oktober stammt.

Krebs empfiehlt Anwendern, so weit möglich die Deinstallation von Java. Sollte es doch einmal benötigt werden, lässt es sich für diesen Fall relativ einfach erneut installieren. Unter OS X können Anwender Java zwar nicht entfernen aber zumindest ausschalten. Hierfür gibt es die Java-Einstellungen im Dienstprogramme-Ordner, wo man auch verschiedene Sicherheitseinstellungen vornehmen kann.

Weiterführende Links:

Kommentare

Retrax28.03.12 16:14
Unter "Lion" ist Java standardmäßig nicht installiert.
0
Andreas Hofmann28.03.12 16:34
FUD, Sandbox spielt in allererster Linie bei Applets eine Rolle, normale Apps haben eh die Rechte der ausführenden Benutzer. Da reicht es auch das entsprechende Browser-Plugin zu deaktivieren. Aber Microsoft ist alles Recht um Konkurrenztechnologie vom eigenen System zu fegen.
0
murmillo
murmillo28.03.12 16:45
Waaahhh, Java ist eine solche Schrotttechnologie. Sollte Apple nach Flash als nächstes killen!

BTW: welches Smartfone OS setzt exklusiv auf Java Halllo Google ihr xxxxxx
0
sierkb28.03.12 16:52
Andreas Hoffmann:
Aber Microsoft ist alles Recht um Konkurrenztechnologie vom eigenen System zu fegen.

Von wo nach wo reicht Dein Tellerrand? Was muss man geraucht haben, um in diesem Zusammenhang sowas loszulassen?

Besonders angesichts dieser Meldungen

heise (28.03.2012): Kritische Java-Lücke wird im großen Stil ausgenutzt

KrebsonSecurity (03/2012): New Java Attack Rolled into Exploit Packs

und vor allem:

Oracle: Oracle Java SE Critical Patch Update Advisory - February 2012 :
Oracle, Feb 2012
[..]
Due to the threat posed by a successful attack, Oracle strongly recommends that customers apply CPU fixes as soon as possible. This Critical Patch Update contains 14 new security fixes across Java SE products.
[..]

Zumal Oracle sein diesbzgl. gepatches Java bereits seit Februar für die Windows-, Solaris-, und Linux-Plattform als Java SE 6 Update 31 anbietet und Apple diesbzgl. bereits wenige Tage später nachgezogen hat mit seinen in deren ADC-Pipeline zum Testen befindlichen Java-Updates -- und die und nur noch darauf warten, per Software-Update auf die Rechner der Anwender gespült zu werden, sodass diese von den im offiziellen und von Oracle rausgegebenen und dringlich ans Herz gelegten Update 31 eingeflossenen Security Fixes genauso profitieren können wie die Anwender unter Windows, Solaris und Linux das schon bereits seit Mitte Februar tun können (inzwischen haben wir Ende März!)...

Das ganze ist also kein FUD, und Microsoft wiederholt und bekräftigt somit lediglich, was der Hersteller von Java höchstselbst, nämlich Oracle, allen Anwendern dringlichst ans Herz legt: schnellstens updaten, weil da draußen vermehrt Exploits rumschwirren, die in die betreffende Lücke reingreifen und sie ausnutzen.
0
sierkb28.03.12 17:00
murmillo:
Waaahhh, Java ist eine solche Schrotttechnologie. Sollte Apple nach Flash als nächstes killen!

Genau. Und die Erde ist eine Scheibe...
Und weil Du so "rechthast" mit Deinem Rant, deshalb kniet sich Apple u.a. in Gestalt von deren Java-Verantwortlichen Mike Swingler auch richtig rein in OpenJDK und hilft zusammen mit Oracle-Leuten und Entwicklern der OpenJDK-Community (zu der neben Oracle und Apple u.a. auch IBM gehört) derzeit kräftig mit, dass Java/OpenJDK wie nie zuvor auf der Mac-Plattform lebt, erblüht und gedeiht...
0
Bibolas28.03.12 18:44
murmillo

Oh ja. Klar. Und OSX hat keine Viren. Ich verrate dir mal was: Java läuft weltweit auf 3,6 Milliarden geräten. Klar wird da oft nach Löchern gesucht. Das lohnt sich. OSX ist das gleiche, nur in die Andere richtung. OSX ist einfach nicht so häufig vertreten wie Windows. Darum werden mehr Viren für Windows geschrieben.
0
Stereotype
Stereotype28.03.12 22:17
OSX ist einfach nicht so häufig vertreten wie Windows. Darum werden mehr Viren für Windows geschrieben.

Wenn dem so wäre, warum gibt es nicht massenhaft Viren für's iPhone?
Beides (Mac, iPhone) basieren auf OS X.
Die Behauptung, dass OS X also nicht so vertreten ist wie Windows und es deshalb keine Viren gibt, ist natürlich ein Mythos oder Irrglaube.

Einen Interessanten Artikel dazu gibt es hier:
http://www.macmark.de/osx_security-orthodox.php
0
scrambler
scrambler28.03.12 22:34
∑± ¿

Java ausgeschaltet, komplett.

Mal sehen wann & wo es dann mal "fehlt" ...


©Fass Dich kurz & Hack Dich selber®
0
Dieter29.03.12 07:42
Ich dachte Java für Mac macht Oracle nun selber ... hatte es Apple nicht an den Hersteller gegeben, wi es auch hin gehört?
0
bjbo29.03.12 07:58
Dieter

Du kannst Dir ja auch das OpenJDK installieren. Problem ist einfach nur, dass die meisten nur die Version von Apple installiert haben, die ist komplett veraltet.

Das Problem sehe ich eher bei anderen Dingen. Viele Unternehmen setzen ältere Java-Versionen ein, das könnte viel gefährlicher werden.
0
derWanderer29.03.12 08:00
Waaahhh, Java ist eine solche Schrotttechnologie. Sollte Apple nach Flash als nächstes killen!

Genau! Hinfort damit! Der neue Mac-Nutzer ist ohnehin zu blöd, irgendetwas anderes mit seinen Apple-Produkten zu machen als Eine-Funktion-Apps aus dem App Store zu holen und sogar Desktopbilder muss er jetzt über das Web suchen, denn selber erstellen kann und will er ja nix mehr, dazu gibt es beim aktuell meistvertretenen Konsument von Apple-Produkten ja gar nicht genug eigene Dateien: Was er nicht kaufen, kaufen und nochmals kaufen konnte oder zumindest ihm als direkt von Apple zusammengeschustert vorgesetzt wird, das muss übel sein. Wie gut, dass Java und X11 für den Mac erhältlich sind. Das eine leider immer noch nur über Apples Downloadseite, das andere direkt an der Quelle zu holen.
0
sierkb29.03.12 08:54
Stereotype:

Wer ist das, den Du da zitierst? Ist der wichtig? Hat der was zu sagen? Wer von Wichtigkeit und fachlichem Rang stützt seine Aussagen und Thesen, oder steht er damit eher allein auf weiter Flur und ist das eher selbstberuhigendes Gebrabbel, was er da von sich gibt, um seine heile Welt, an die er jahrelang geglaubt hat, zu bewahren?

Zudem gerade ganz aktuell:

Threatpost (28.03.2012): MacControl Trojan Being Used in Targeted Attacks Against OS X Users

Alienvault Labs (27.03.2012): MS Office exploit that targets MacOS X seen in the wild – delivers “Mac Control” RAT

Threatpost (21.03.2012): New Trojan For Mac Used In Attacks On Tibetan NGOs

Warum wohl hat Apple seit Snow Leopard auf allen aktuellen MacOSX-Systemen wohl einen eigenen Malware-Warn-Mechanismus mit beschränkter Wirkungskraft namens XProtect eingeführt und versieht ihn regelmäßig (standardmäßig alle 24 Stunden) mit Signatur-Updates (zuletzt am Tue, 20 Mar 2012 23:21:01 GMT betreffend des Trojaners OSX.Revir.ii), so wie das alle anderen AV-Hersteller seit Jahren ebenfalls machen? Apple macht das, weil's so überhaupt keinen Handlungsbedarf gibt und weil sie zuviel Zeit haben?

Und bzgl. iPhone: erstens ist es nicht wahr, dass es da nichts gibt und auch nichts drauf gelangen könnte. Beispiele, dass auf dem iPhone erfolgreich was Schadhaftes platziert werrden konnte, gabe es genug. U.a. auch von Security-Ass und Ex-NSA-Mann Charlie Miller (letztes Jahr immerhin von Apple höchstselbst eingeladen, vorab vor dem Release Lion auf Schwachstellen zu begutachten). Und der von Apple dann dafür belohnt wurde, dass er seinen Apple Developer Account verloren hatte als Dank dafür, dass es ihm gelang, seine speziell preparierte Software im iOS AppStore zu platzieren. Diese eine Sache ist aufgefallen, ging durch die Presse. Wie hoch mag die Dunkelziffer sein an Apps, die ähnliches vorhatten, wo aber die betreffenden Entwickler nicht so ehrlich wie Charlie Miller sind und Apple auf die Schulter tippen, indem sie ihnen freimütig ins Gesicht sagen: "Du, Apple, ich habe Dir da grad' was an Deinen Eingangskontrollen vorbei untergeschoben..."

Natürlich bietet ein System, das Rausschmeißer an der Türe stehen hat in Gestalt von Apple-Leuten am Eingang des AppStores eine etwas größere Sicherheit als eines, das solche Eingangskontrollen nicht hat. Wer sich so einigelt und abschottet und sich einzäunt ("walled garden") der bekommt halt weniger häufig einen Schnupfen. Doch zeigen genügend Beispiele, gerade auch in jüngster Zeit, dass auch dieses System des Sich-Einigelns und Abschottens, das Apple da bzgl. seiner iOS-Praxis alles andere als unverwundbar ist und dass auch dieses System umgangen werden kann und auch in der Praxis umgangen wird und Apples "AppStore-Polizei" da durchaus nicht wenige Fälle einfach durch die Lappen gehen. Und Apple zuweilen alles andere als schnell reagiert und meistens erst dann, wenn Druck durch die Öffentlichkeit aufgebaut wird (so kennen wir Apple seit Jahren, dass sie erst dann reagieren, wenn sie Druck bekommen). Zwar weniger, aber Apples Eingangskontrollsystem wird umgangen, und der Anwender bekommt Programme untergejubelt, die alles andere im Sinn haben als ihm Gutes zu tun.

"Security through obscurity" ist auch bei Apples MacOSX und iOS ein in mancher Hinsicht durchaus zutreffender Ausdruck. Auch, wenn sich in dieser Hinsicht in der Zwischenzeit einige Dinge insofern verbessert haben, als dass Apple auch technisch und vom Unterbau her sich endlich dem annähern, was sie seit Jahren vollmundig versprochen und beworben, aber technisch teilweise nur sehr unzureichend umgesetzt hatten (also hohles Marketinggewäsch abgeliefert hatten, welches die Erwartungen, die es geweckt hatte, bei Lichte betrachtet nicht erfüllen konnte). Erst mit Lion ist Apple im Grunde dort angekommen, was sie bereits mit Leopard versprochen, aber weder mit Leopard noch mit Snow Leopard tatsächlich eingehalten hatten (Beispiel: Sandboxing, ASLR, ...) -- und selbst an dieser Front gibt's derzeit immer noch signifikante Umsetzungsprobleme (gerade z.B. beim Sandboxing). Theorie und Praxis eben. Da trifft Schein auf Sein. Papier ist geduldig.
0
sierkb29.03.12 08:56
derWanderer:

+1
0
sierkb29.03.12 09:07
derWanderer
Wie gut, dass Java und X11 für den Mac erhältlich sind. Das eine leider immer noch nur über Apples Downloadseite, das andere direkt an der Quelle zu holen.

Zukünftig beide nur noch an der Quelle (bzgl. X11 ab Mountain Lion direkt in Apples Open-Source-Bucht MacOSforge in Gestalt von XQuartz; Apple wird direkt dazu hinleiten, wenn's angefordert wird; und bzgl. Java: Java 6 für den Mac noch von Apple (Java 6 läuft offiziell sowieso nur noch bis Q4 2012), ab dem aktuellen Java 7 und erst Recht dem schon in den Startlöchern stehenden Java 8 nur noch über Oracle bzw. OpenJDK -- wobei in allen drei Fällen (Java 6, Java 7, Java Apple da weiterhin mit drinhängt und hinter den Kulissen kräftig daran mitarbeitet und sein Bestes tut, damit's auf der Mac-Plattform optimal dasteht, lebt, blüht und gedeiht, siehe auch und und ). Was der Qualität ganz sicher nicht schadet -- so wie es derzeit aussieht, wohl eher ganz im Gegenteil.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.