News

Das neue Sicherheitsupdate Java 7 Update 21 ist aus Sicht des Interessenverbunds der Java User Groups e.V. (iJUG) ein Schritt in die richtige Richtung. Obwohl Java im Browser grundsätzlich nicht gefährlicher oder sicherer ist, als andere Plug-in-Ansätze, gilt die Sprache aufgrund der starken Verbreitung als großes Angriffsziel. Von daher ist es dringend notwendig, dass Oracle die Sicherheit von Java proaktiv sicherstellt und bei Sicherheitslücken umgehend neue Versionen bereitstellt. mehr

Von der iJuG-Seite: Die nächste Version von Java EE biegt auf die Zielgrade ein. Die ersten vier der kommenden Java-EE-7-Spezifikationen sind Ende März erfolgreich durch den „Final Approval Ballot“ des Java Community Process (JCP) gegangen und damit inhaltlich final. ... mehr

Java 7 Update 21 verspricht das Beheben von Sicherheitslücken und mehr Kontrolle beim Ausführen von Java Applets.Die Warnhinweise beim Start von unsignierten Applets sind nicht mehr abschaltbar und auf die Gefährdung abgestimmt. Marcus Eisele hat auf heise.de einen ausführlichen Artikel für veröffentlicht, was das für Javaentwickler bedeutet. Im Update ist auch ein JDK for Linux on ARM enthalten.

 

Der Newsletter des Interessenverbunds der Java User Groups e.V. für April 2013 blickt zurück auf die DevoxxUK und nach vorn auf die JavaOne und die DOAG Konferenz und Ausstellung. Ausserdem werden die in Java 7 Update 21 kommenden Sicherheitsvorkehrungen für Applets und WebStart Programme thematisiert. Der Newsletter ist wie üblich auch online auf den Seiten des iJUG einsehbar.

Zur Erinnerung: Am morgigen Samstag findet in Göttingen die diesjährige, ordentliche Mitgliederversammlung der Java User Group Deutschland e.V. statt. Alle Vereinsmitglieder haben schriftlich eine Einladung erhalten.

Der neue Newsletter des Interessenverbunds der Java User Groups e.V. behandelt in diesem Monat die Updates der Java Runtime der letzten Wochen. Desweiteren beinhaltet der Newsletter einen Aufruf an Autoren für die Java aktuell. Die Termine der Java Community der kommenden Wochen finden natürlich auch ihren Platz. Der Newsletter ist auch online verfügbar.

Vom 22. bis zum 26. April findet die diesjährige JAX in der Rheingoldhalle in Mainz statt. D as Themenspektrum der Konferenz reicht von Java-Technologien über Software-Architektur bis hin zu agilen Management-Methoden und Fragen der Enterprise Architektur. Mitglieder der Java User Group Deutschland e.V. erhalten 15% Rabatt auf die Konferenztickets. Das vollständige Programm der JAX 2013 ist auf der Konferenzwebseite unter http://jax.de/2013/ zu finden.

Oracle hat auf die neu bekannt gewordene Sicherheitslücke schnell reagiert und ein außerplanmäßiges Update von Java SE 7 und SE 6 veröffentlicht. Die neuen Versionen schließen zwei Lücken die unter Umständen Applets und Webstart-Anwendungen das Verlassen der Sandbox erlaubte. Die neuen Versionen Java SE 7 Update 17 und Java SE 6 Update 43 stehen ab sofort bei Oracle zum Download bereit. Auch für Apple User die noch Java 6 direkt von Apple einsetzen steht ein Update bereit das über die Softwareaktualisierung bezogen werden kann.

 

Planmäßig hat Oracle gestern Updates für Java SE 6 und Java SE 7 herausgebracht. Wie schon die letzte, vor gerade einmal 3 Wochen veröffentlichte Version enthalten die neuen Releases (Java SE 6 Update 41 und Java SE 7 Update 15) sicherheitsrelevante Korrekturen. Laut Oracles Critical Patch Update Advisory werden 5 Fehler behoben die einen Remote Angriff auf Client und Server Deployments erlauben.

 

Desweiteren wird das Classic Java-Plug-in nicht weiter unterstützt und Nutzer werden dazu angehalten das Next-Generation Plug-in zu verwenden, das seit Java 6 Update 10 mit der Runtime Environment ausgeliefert wird.

Die Installationen bei Java 6 Usern die die Auto-Update Funktion nutzen, werden automatisch auf Java SE 7 aktualisiert, da keine weitere öffentlich verfügbaren Updates von Java SE 6 geplant sind. Wer dennoch ein Java SE 6 benötigt, sollte auf das Auto-Update verzichten und Java SE 7 manuell installieren. Oracle rät jedoch dringend davon ab ältere Java Installationen auf dem System zu belassen. Die neuen Version sind wie üblich für alle Plattformen bei Oracle zum Download verfügbar.

Apple User die noch nicht das von Oracle verteilte Java 7 nutzen, erhalten über die Softwareaktualisierung einen Patch für ihr Java 6. Der Patch aktualisiert die Java Version auf den Stand von Java SE 6 Update 41 und deaktiviert das Applet Plug-in in allen Browsern. Bei Bedarf führt Installationroutine für fehlende Plug-ins dann dazu, dass auf den Systemen Java 7 von Oracle installiert wird.

Inzwischen mehren sich die Berichte über gezielte Angriffe auf große Unternehmen über Java Exploits in den vergangenen Wochen, z.B. bei Facebook oder Apple, wie heise.de berichtet. Diese Lücken solten inzwischen geschlossen sein, so dass jedem nur empfohlen werden kann die aktuellen Patches einzuspielen.

Für die Source Talk Tage 2013 am 1. und 2. Oktober werden Vorträge im   Bereich Java, Programmiersprachen, Entwicklungsumgebungen und mobile Sicherheit gesucht. Anmeldungen mit kurzem Abstract unter www.sourcetalk.de.

Der neue Newsletter des Interessenverbunds der Java User Groups e.V. behandelt in diesem Monat natürlich das letzte Critical Patch Update für Java und die Diskussion um die Ask Toolbar. Desweiteren ist ein Rückblick auf die JFokus sowie ein Ausblick auf anstehende Termine in der Java Community. Der Newsletter ist wie üblich auch im Web verfügbar.

Wie schon berichtet, zirkuliert eine Online-Petition, mit deren Hilfe eine Bündelung der Java-Installationspakete mit Dritthersteller-Software unterbunden werden soll. Konkret geht es um die Ask Toolbar, welche Oracle bei einer Java-Installation auf unauffällig-geschickte Weise zur Installation im Browser anbietet. Der Initiator der Petition, der Software-Entwickler Dr. Saeid Nourian, ist besorgt um die Integrität von Java, die Oracle seiner Meinung nach durch die Bündelung mit der Ask Toolbar „für ein paar Pennies pro Download“ opfere. Es sei für ein angesehenes Unternehmen wie Oracle erniedrigend, auf solche Verfahren zurückzugreifen, um einen kleinen Gewinn zu erzielen, argumentiert er weiter.

Dieses Anliegen unterstützt auch der iJUG (Interessenverbund der Java User Groups e.V.): „Der iJUG teilt die Besorgtheit  über die Sachlage", sagt Fried Saacke, Vorstandsvorsitzender des iJUG. "Jeder von uns hat sich wahrscheinlich mindestens einmal über das plötzliche und unerklärliche Erscheinen der Ask-Toolbar im Browser gewundert. Oracle hat bisher nichts unternommen, um die bereits aus Sun-Zeiten gängige Praxis zu ändern. So werden weiterhin Unaufmerksamkeit und Unwissenheit von Endanwendern ausgenutzt, um Umsätze zu generieren. Das können wir so nicht einfach hinnehmen. Einmal mehr zeigt es die Notwendigkeit einer starken Interessenvertretung der Java-User.“

Der iJUG pflegt einen dauerhaften Kontakt zu der Java-Community und wird diese Position gegenüber seinen Ansprechpartnern bei Oracle verdeutlichen. Unter den Java User Group Leads herrscht Konsens darüber, dass Pakete, die nicht in direktem Zusammenhang mit Java stehen, während der Installation von Java nicht angeboten werden sollen.

Derzeit wird während einer Installation von Java die Toolbar von Ask.com mitinstalliert. Während des Vorgangs macht eine Maske auf „die Installation des kostenlosen Browser-Add-Ons von Ask“ aufmerksam. Nach einer Abbildung der besagten Toolbar und einem marketing-orientierten Beschreibungstext befindet sich  weiter im Text eine Checkbox, die die Installation der Ask Toolbar auslöst. Standardmäßig ist der Haken gesetzt. Wird dieser also übersehen, wird die Toolbar automatisch in Internet Explorer, Google Chrome und Mozilla Firefox installiert.

Die Toolbar wird man im Nachhinein nicht so einfach los: Viele Internetnutzer beschweren sich in Internetforen darüber, dass die Toolbar nach einer ordnungsgemäßen Deinstallation im Browser immer noch erscheine, unter den Add-Ons jedoch nicht aufgelistet sei.

Mitte Januar hatte der ZDNEt-Autor Ed Bott den Installationsprozess unter die Lupe genommen und die Vorgehensweise von Oracle kritisiert. Bott warnt auch vor dem Java Updater für Windows. Bei der automatischen Aktualisierung von Java sollen laut Bott ebenso Software von Drittanbietern mitinstalliert werden. Er nennt neben der Ask Toolbar auch den McAfee Security Scanner.

Quelle: iJUG

Java Nutzer auf dem Windows Desktop erhalten beim Anklicken der  von Oracle empfohlenen Installation automatisch Zusatzsoftware installiert. Dagegen hat Saeid Nourian, ein kanadischer Softwareentwickler fuer freie bzw. preiswerte mathematische Software auf Java-Basis, eine Petition gestartet.

Da sich bei uns die Anfragen verunsicherter Benutzer häufen, möchten wir einen kurzen Hinweis darauf geben, was Java eigentlich ist und wer es eigentlich auf seinem Computer benötigt. Dieser Beitrag richtet sich also nicht wie die üblichen auf dieser Seite an Entwickler, sondern an alle Endanwender, die bisher nicht wissen, was genau Java eigentlich ist und wofür sie es brauchen.

Java ist eine sogenannte Laufzeitumgebung und eine Programmiersprache, die Mitte der 90er Jahre von Sun Microsystems veröffentlicht wurde. Eine Laufzeitumgebung ist ein Stück Software, die hilft, Programme klein zu halten. Inzwischen ist Java auf diversen Plattformen verbreitet, nicht nur auf PCs, sondern auch auf Telefonen, Fernsehern, Spielekonsolen etc. Besonders erfolgreich ist Java im Serverbereich, nicht zuletzt durch die Vielzahl freier und effektiver Softwarebausteine und der Anwendungsserver, die oft im Hintergrund tätig sind, wenn komplexe Vorgänge - wie Reisebuchungen - auf Webseiten abgearbeitet werden sollen.

PC Anwendern begegnet Java üblicherweise bei zwei Gelegenheiten. Zum einen gibt es Software, die in Java entwickelt wurde und die die  Laufzeitumgebung benötigt. Oft wir eine Java Version in solchen Fällen mitgeliefert oder der Anwender wird zur Installation von Java aufgefordert. Der zweite Fall ist Java im Browser. Bevor Flash oder auch JavaScript verbreitet waren war Java das Mittel der Wahl um interaktive Inhalte in Webseiten zu präsentieren. Diese sogenannten Applets sind inzwischen weniger verbreitet, aber insbesondere bei größeren, komplexen Anwendungen wird Java im Browser vorausgesetzt. Prominentestes Beispiel der letzten Wochen ist hier wohl Elster-Online.

Java ist kostenlos und die Laufzeitumgebung, die benötigt wird, um Java Programme wie Elster-Online und Applets auszuführen, kann von http://java.com/de heruntergeladen werden.

Oracle hat Java SE 7 Update 13, Java SE 6 Update 39 und JavaFX 2.2.5 veröffentlicht. Die neuen Versionen beheben laut der Release Notes (SE 7u13 und SE 6u39) über 50 teils sicherheitsrelevate Fehler. Alle Endanwender und Administratoren sollten das Update möglichst bald einspielen. Es bleibt zu hoffen dass Oracle mit diesem Update wieder ein wenig Ruhe und Stabilität in die Java Community bringen kann. Die neuen Versionen stehen ab sofort zum Download bereit.