Java Web Fail

8 Tage hat es gebraucht, bis sich was getan hat, naja immerhin. Doch es wurde anders auf die jüngste Java-Katastrophe reagiert, als ich mir das vorgestellt hatte:

Auch gut, überlassen wir es den Browser-Herstellern, die Sicherheitslücken zu schließen :-D (meiner Meinung nach - nebst Auslöschen von Java - die beste Lösung). *facepalm*

Update: Bei Mozilla ist das Problem seit 7 Tagen bekannt, gestern wurde erst reagiert. Auf der Seite findet sich ein Test-Link zu einem harmlosen Exploit, der allerdings von NoScript erkannt und blockiert wird:

Auch das Active Surf-Shield von AVG (Version 9) blockiert den Link, bevor der Aufruf erfolgt:

Sollte man dieses deaktiviert haben (so wie ich :-P) schaltet sich auch noch der Link-Scanner ein:

Tja, ich weiß ja warum ich auf tschechische Software setze :-D

Update 2: Der Bug wurde scheinbar schon in der neuesten Version der Java-VM behoben. Ob man selbst betroffen ist, kann man leicht prüfen, die Versionsnummer der npdeploytk.dll bzw. npdeployJava1.dll (im Installationspfad zu finden, meist C:\Program Files (x86)\Java\jre6\bin) sagt folgendes aus:

  • 6.0.190.x
    Diese oder ältere Versionen enthalten den Bug, ein Update der Java-Plattform wäre angesagt (oder man putzt diese Geißel der Menschheit gleich ganz von der Platte, ist effektiver).
  • 6.0.200.0
    Ab dieser Version ist man wieder „sicher“, zumindest dieser Bug dürfte weg sein ;-)

Ich hab mir mal den Spaß gegönnt und den Test-Exploit in einer VM mit dem guten alten Windows XP SP2 ausgeführt, beim Firefox klappts:

Der Internet Explorer 6 verwendete schon die neue DLL (ich habe es selbst nachinstalliert) und war daher nicht betroffen. Beide Browser waren natürlich nach einer Aktualisierung des JRE nicht mehr anfällig. Außerdem hat Avira AntiVir Personal 10 (mal wieder) versagt, die Testseite ließ sich ausführen. Kaspersky 2010 blockt übrigens auch nicht (fällt sowas in die Zuständigkeit eines Virenscanners?). Ahja, und ich erkenne gerade, warum ich noch die alte Variation drauf habe: der Java Update Scheduler läuft nicht 8-O

Ach wie gut, dass niemand weiß, dass ich auf dieses Java schei** ^_^

Kommentare