$model.weblogEntry.category.name

Planmäßig hat Oracle gestern Updates für Java SE 6 und Java SE 7 herausgebracht. Wie schon die letzte, vor gerade einmal 3 Wochen veröffentlichte Version enthalten die neuen Releases (Java SE 6 Update 41 und Java SE 7 Update 15) sicherheitsrelevante Korrekturen. Laut Oracles Critical Patch Update Advisory werden 5 Fehler behoben die einen Remote Angriff auf Client und Server Deployments erlauben.

 

Desweiteren wird das Classic Java-Plug-in nicht weiter unterstützt und Nutzer werden dazu angehalten das Next-Generation Plug-in zu verwenden, das seit Java 6 Update 10 mit der Runtime Environment ausgeliefert wird.

Die Installationen bei Java 6 Usern die die Auto-Update Funktion nutzen, werden automatisch auf Java SE 7 aktualisiert, da keine weitere öffentlich verfügbaren Updates von Java SE 6 geplant sind. Wer dennoch ein Java SE 6 benötigt, sollte auf das Auto-Update verzichten und Java SE 7 manuell installieren. Oracle rät jedoch dringend davon ab ältere Java Installationen auf dem System zu belassen. Die neuen Version sind wie üblich für alle Plattformen bei Oracle zum Download verfügbar.

Apple User die noch nicht das von Oracle verteilte Java 7 nutzen, erhalten über die Softwareaktualisierung einen Patch für ihr Java 6. Der Patch aktualisiert die Java Version auf den Stand von Java SE 6 Update 41 und deaktiviert das Applet Plug-in in allen Browsern. Bei Bedarf führt Installationroutine für fehlende Plug-ins dann dazu, dass auf den Systemen Java 7 von Oracle installiert wird.

Inzwischen mehren sich die Berichte über gezielte Angriffe auf große Unternehmen über Java Exploits in den vergangenen Wochen, z.B. bei Facebook oder Apple, wie heise.de berichtet. Diese Lücken solten inzwischen geschlossen sein, so dass jedem nur empfohlen werden kann die aktuellen Patches einzuspielen.

Für die Source Talk Tage 2013 am 1. und 2. Oktober werden Vorträge im   Bereich Java, Programmiersprachen, Entwicklungsumgebungen und mobile Sicherheit gesucht. Anmeldungen mit kurzem Abstract unter www.sourcetalk.de.

Der neue Newsletter des Interessenverbunds der Java User Groups e.V. behandelt in diesem Monat natürlich das letzte Critical Patch Update für Java und die Diskussion um die Ask Toolbar. Desweiteren ist ein Rückblick auf die JFokus sowie ein Ausblick auf anstehende Termine in der Java Community. Der Newsletter ist wie üblich auch im Web verfügbar.

Wie schon berichtet, zirkuliert eine Online-Petition, mit deren Hilfe eine Bündelung der Java-Installationspakete mit Dritthersteller-Software unterbunden werden soll. Konkret geht es um die Ask Toolbar, welche Oracle bei einer Java-Installation auf unauffällig-geschickte Weise zur Installation im Browser anbietet. Der Initiator der Petition, der Software-Entwickler Dr. Saeid Nourian, ist besorgt um die Integrität von Java, die Oracle seiner Meinung nach durch die Bündelung mit der Ask Toolbar „für ein paar Pennies pro Download“ opfere. Es sei für ein angesehenes Unternehmen wie Oracle erniedrigend, auf solche Verfahren zurückzugreifen, um einen kleinen Gewinn zu erzielen, argumentiert er weiter.

Dieses Anliegen unterstützt auch der iJUG (Interessenverbund der Java User Groups e.V.): „Der iJUG teilt die Besorgtheit  über die Sachlage", sagt Fried Saacke, Vorstandsvorsitzender des iJUG. "Jeder von uns hat sich wahrscheinlich mindestens einmal über das plötzliche und unerklärliche Erscheinen der Ask-Toolbar im Browser gewundert. Oracle hat bisher nichts unternommen, um die bereits aus Sun-Zeiten gängige Praxis zu ändern. So werden weiterhin Unaufmerksamkeit und Unwissenheit von Endanwendern ausgenutzt, um Umsätze zu generieren. Das können wir so nicht einfach hinnehmen. Einmal mehr zeigt es die Notwendigkeit einer starken Interessenvertretung der Java-User.“

Der iJUG pflegt einen dauerhaften Kontakt zu der Java-Community und wird diese Position gegenüber seinen Ansprechpartnern bei Oracle verdeutlichen. Unter den Java User Group Leads herrscht Konsens darüber, dass Pakete, die nicht in direktem Zusammenhang mit Java stehen, während der Installation von Java nicht angeboten werden sollen.

Derzeit wird während einer Installation von Java die Toolbar von Ask.com mitinstalliert. Während des Vorgangs macht eine Maske auf „die Installation des kostenlosen Browser-Add-Ons von Ask“ aufmerksam. Nach einer Abbildung der besagten Toolbar und einem marketing-orientierten Beschreibungstext befindet sich  weiter im Text eine Checkbox, die die Installation der Ask Toolbar auslöst. Standardmäßig ist der Haken gesetzt. Wird dieser also übersehen, wird die Toolbar automatisch in Internet Explorer, Google Chrome und Mozilla Firefox installiert.

Die Toolbar wird man im Nachhinein nicht so einfach los: Viele Internetnutzer beschweren sich in Internetforen darüber, dass die Toolbar nach einer ordnungsgemäßen Deinstallation im Browser immer noch erscheine, unter den Add-Ons jedoch nicht aufgelistet sei.

Mitte Januar hatte der ZDNEt-Autor Ed Bott den Installationsprozess unter die Lupe genommen und die Vorgehensweise von Oracle kritisiert. Bott warnt auch vor dem Java Updater für Windows. Bei der automatischen Aktualisierung von Java sollen laut Bott ebenso Software von Drittanbietern mitinstalliert werden. Er nennt neben der Ask Toolbar auch den McAfee Security Scanner.

Quelle: iJUG

Java Nutzer auf dem Windows Desktop erhalten beim Anklicken der  von Oracle empfohlenen Installation automatisch Zusatzsoftware installiert. Dagegen hat Saeid Nourian, ein kanadischer Softwareentwickler fuer freie bzw. preiswerte mathematische Software auf Java-Basis, eine Petition gestartet.

Da sich bei uns die Anfragen verunsicherter Benutzer häufen, möchten wir einen kurzen Hinweis darauf geben, was Java eigentlich ist und wer es eigentlich auf seinem Computer benötigt. Dieser Beitrag richtet sich also nicht wie die üblichen auf dieser Seite an Entwickler, sondern an alle Endanwender, die bisher nicht wissen, was genau Java eigentlich ist und wofür sie es brauchen.

Java ist eine sogenannte Laufzeitumgebung und eine Programmiersprache, die Mitte der 90er Jahre von Sun Microsystems veröffentlicht wurde. Eine Laufzeitumgebung ist ein Stück Software, die hilft, Programme klein zu halten. Inzwischen ist Java auf diversen Plattformen verbreitet, nicht nur auf PCs, sondern auch auf Telefonen, Fernsehern, Spielekonsolen etc. Besonders erfolgreich ist Java im Serverbereich, nicht zuletzt durch die Vielzahl freier und effektiver Softwarebausteine und der Anwendungsserver, die oft im Hintergrund tätig sind, wenn komplexe Vorgänge - wie Reisebuchungen - auf Webseiten abgearbeitet werden sollen.

PC Anwendern begegnet Java üblicherweise bei zwei Gelegenheiten. Zum einen gibt es Software, die in Java entwickelt wurde und die die  Laufzeitumgebung benötigt. Oft wir eine Java Version in solchen Fällen mitgeliefert oder der Anwender wird zur Installation von Java aufgefordert. Der zweite Fall ist Java im Browser. Bevor Flash oder auch JavaScript verbreitet waren war Java das Mittel der Wahl um interaktive Inhalte in Webseiten zu präsentieren. Diese sogenannten Applets sind inzwischen weniger verbreitet, aber insbesondere bei größeren, komplexen Anwendungen wird Java im Browser vorausgesetzt. Prominentestes Beispiel der letzten Wochen ist hier wohl Elster-Online.

Java ist kostenlos und die Laufzeitumgebung, die benötigt wird, um Java Programme wie Elster-Online und Applets auszuführen, kann von http://java.com/de heruntergeladen werden.

Oracle hat Java SE 7 Update 13, Java SE 6 Update 39 und JavaFX 2.2.5 veröffentlicht. Die neuen Versionen beheben laut der Release Notes (SE 7u13 und SE 6u39) über 50 teils sicherheitsrelevate Fehler. Alle Endanwender und Administratoren sollten das Update möglichst bald einspielen. Es bleibt zu hoffen dass Oracle mit diesem Update wieder ein wenig Ruhe und Stabilität in die Java Community bringen kann. Die neuen Versionen stehen ab sofort zum Download bereit.

Angeblich ist eine neue Zero-Day-Sicherheitslücke in Java aufgetaucht. mehr

Der neuste Newsletter der Interessenverbunds der Java User Groups e.V. legt das Schwerpunktthema in diesem Monat natürlich auf den Zero-Day-Exploit der vergangenen Woche. Aber auch für Java Interessierte anstehende Termine der nächsten Wochen und Monate haben wieder ihren Platz. Der Newsletter ist wie üblich auch online verfügbar

Java SE Development Kit 7u11 steht zum Download bereit.  Die Sicherheitslücke soll damit behoben sein.

In bestimmten Fällen ist das Java-Applet erforderlich, beispielsweise umSteuerdaten an das Internet-Portal "Elster" zu übermitteln. Momentan kann der Anwender dabei nur darauf vertrauen, dass solche Websites sicher sind.

Um mit diesen Websiten weiter arbeiten zu können, sollte man einen zumindest einen separaten Browser installieren, in dem Java aktiviert ist und nur diese Webseiten besucht werden. Besser noch ist es, einen separaten Benutzer ohne Adminrechte anzulegen und mit diesem nur sicherheitsempfindliche Arbeiten - wie Steuer- und Bankgeschäfte - zu erledigen. Es empfiehlt sich dabei gleich, einen Browser mit hoher Updatefrequenz - wie Firefox oder Chrome - einzusetzen.

Nach dem Bekanntwerden einer neuen Sicherheitslücke in Java sollten alle Anwender die Einbindung von Java in ihren Web-Browsern deaktivieren. Laut  Der Interessenverbund der Java User Groups e.V. (iJUG) hat dazu eine Webseite mit aktuellen Informationen eingerichtet

In einer US-CERT Meldung vom 10.1.2013 wird auf einen gefährlichen Bug in Java hingewiesen. Den ursprünglichen Report findet man hier. Auf heise und bei The Next Web findet man Artikel zu dem Thema.  Empfohlen wird eine Abschaltung von Java 7  (nicht aber Javascript ) in allen Browsern. Auf heise wird beschrieben, wie das geht: http://www.heise.de/security/dienste/Java-403125.html . Update: Inzwischen wurde gemeldet, dass alle eingesetzten Versionen von Java betroffen sind. Oracle (donald.smith@oracle.com) erklärt in einer Mail an JUG-Leader, dass nur Java 7 betroffen ist und in Kürze ein Patch erscheinen wird.

Die Ausgabe 01/2013 ist seit dem 05. Dezember 2012 an ausgewählten Kiosken sowie im Zeitschriftenhandel erhältlich. Mit dem Titel „Java - Programmiersprache mit Tiefgang“ werden neben zahlreichen Fachartikeln die neuen Produkte Eclipse 4 und Geronimo 3.0 genauer unter die Lupe genommen. mehr

Oracle hat neue Java SE Versionen veröffentlicht. Die neuen Releases Java SE 6 Update 38 und Java SE 7 Update 10 ändern nicht die Security Baseline, enthalten also keine Sicherheitsrelevanten Patches, beheben laut der Release Notes aber jeweils über 30 Fehler (Release Notes Java SE 6 Update 38, Release Notes Java SE 7 Update 10).

In der neuen Java 7 Version werden zudem Mac OS X 10.8 und Microsoft Windows 8 jetzt offiziell unterstützt. Die Download stehen ab sofort für die üblichen Betriebssysteme auf der Oracle Webseite zur Verfügung.