Ach ja, mal wieder musste ich herzhaft lachen als Heise folgenden Post veröffentlicht hat: Sicherheitslücke: Java während Installation verwundbar | heise Security
Ich weis nicht wer immer diese Bananen sind die durch Dritte verursachte Lücken als Grund-Problem der Sprache selbst hinstellen.
Denn wie im Artikel beschrieben:
… dafür muss er aber seine Opfer vor der Java-Installation auf eine manipulierte Webseite locken und ihnen dann auf einem nicht näher beschriebenen Weg Schadcode unterjubeln.
BITTE WAS?
Moment mal Freund - wer hat hier wieder was durcheinander gebracht.
1.) das Problem betrifft nur die MSI-Pakete > Fehler höchstwahrscheinlich in diesem - DERP
2.) beim Download muss Schadcode über manipulierte Seite laufen - das nennt man Drive-by-Download und hat ganz sicher nichts mit dem Installer selbst zu tun
3.) es wird nicht genannt ob es sich um die „kompletten“ MSI-Pakete handelt oder um den „Online-Bootstrapper“ - wobei vermutlich eher um letzteren da dieser aktiv Daten nachläd
4.) es ist nur dass Setup selbst betroffen - sobald dies durch ist gibt es die Lücke nicht mehr
Mal ganz erlich: Da war wohl wieder jemand zu feige den wirklichen Schuldigen anzuprangern: M$ - und vermutlich ein schlecht konfigurierter Web-Server. Warum wird Java als Ganzes, und vor allem komplett falsch mal wieder die Sprache an sich selbst, mal wieder als „größtes Risiko der Menschheitsgeschichte“ angeprangtert obwohl der Fehler ganz klar an anderer Stelle liegt. Was bitte kann den Oracle dafür dass der MSI-Packer mist baut und die Runtime auf nem Windows-Rechner dann daraus ne Lücke werden lässt? Gut, vielleicht haben sie Teil-Schuld weil der Download-Server nicht abgesichert war und halt durch Net-Manipulation Drive-by-Downloads möglich sind (naja, wer Software halt nicht direkt vom Hersteller zieht darf sich über sowas nicht wundern).
Wollen wir das Spiel auch mal bei den aktuellen Flash-Installern von Adobe testen? Ich wette da dürfte es ähnliche Probleme geben.
Ich habs einfach nur satt dass Leute die mal wieder einfach absolut keinen Plan haben und sich nicht trauen mal die Klappe aufzureißen andere Dumme noch mehr verdummen. Ich kann in JEDER Sprache die mir Zugriff aufs File-System erlaubt einfach Dropper und Deleter schreiben die von keinem Virenscanner bemängelt werden, gleich ob Java, C/++ oder mit entsprechenden Frameworks ganz sicher auch Flash und JavaScript, von DotNET mal zu schweigen. Stellt mir die Sprache oder entsprechende Platform Zugriff, und ich bringe das Opfer dazu ein Runnable zu laden und auszuführen, in dem an sich ganz normaler Code steht, der aber halt leider ziemlich schlimme Konsequenzen hat, dann brauch ich mich auch nicht über eine Kaputte Sandbox die sowas verhindern soll beschweren wenn der User den Code selbst freiwillig staret.
Und seien wir doch mal erlich: bei dem Hype den Minecraft hat, welches Kiddie lässt sich nicht von einem „cracked Client“ anziehen der vorgibt ganz tolle schöne viele Dinge zu ermöglichen ohne es zu kaufen und der eigentlich nur ein rekursives File.delete() enthält und sonst nur Junk dass die File-Größe von 2kB nicht auffällt (wobei auch DAS bei vielen sicher kein Grund sein dürfte misstrauisch zu sein)?
Schade eigentlich. Ist schon verständlich warum die Sprache auf Buiseness und Server abgewandert ist und sich im Desktop-Bereich nicht mehr findet.