Sicherheits und deaktiviertes Java-Plugin

    Hallo zusammen,

    ich habe eine kurze sicherheitsrelevante Frage. Ich habe bei mir im Firefox as Java-Plugin deaktiviert, da es zur Sicherheit beitragen soll. Java (nicht Java-Script) wird auf den Seiten die ich normalerweise benutze nicht verwendet und daher habe ich es deaktiviert.

    Nun meine Frage: ist es notwendig, das Java-Plugin weiterhin zu aktualisieren? Wird auch bei deaktiviertem Java, das Plugin genutzt? Besteht die Gefahr von Drive-By Infektionen auch wenn das Plugin über Firefox deaktiviert ist?

    Danke und Grüße

    Hallo firefoxPlug,

    wenn das Java Plugin deaktiviert ist, hast du zumindest aus dieser Richtung keine Drive by infections zu befürchten. Dennoch muss Java weiterhin mit Sicherheitsupdates versorgt werden. Wenn du das vermeiden willst, wäre es besser, Java zu deinstallieren.

    gruß,
    docc

    Zitat von firefoxPlug

    ist es notwendig, das Java-Plugin weiterhin zu aktualisieren?

    Das Plugin ist ja nur ein Teil der Java Installation.
    Wenn Java schon vorhanden ist, dann bitte in der jeweils aktuellsten, unterstützten Version.
    Eine Software mit (bekannten + offenen) Sicherheitslücken auf dem Rechner zu haben ist fahrlässig.

    Hallo,

    erstmal danke für die schnellen Antworten und das Verschieben ins richtige Unterforum. Ich war mir nicht ganz sicher, ob es zu Sicherheit oder zu Plugins gehört.

    Also es ist so. Ich hatte wie schon geschrieben, das Plugin im Firefox deaktiviert, einfach über Firefox>Add-ons>Plugins und dann deaktivieren. Das war vor ca. 1 Monat. Es war Java 7 Update 4 aktuell. Jetzt ist dann aber Anfang Juni das neue Update erschienen und das habe ich verschwitzt. Ich bin jetzt also ca. 1 Monat mit dem veralteten Update gesurft und Update 5 schließt kritische Sicherheitslücken.

    Also meine Verständnisfrage: Wie ist das in dieser Zeit mit deaktivierem Java-Plugin? War ich in dieser Zeit allen Infektionen beim Besuchen von Websites, die veraltetes Java ausnützen, ausgesetzt oder nicht da deaktiviert? Letzeres würde für mich logisch mehr Sinn machen, aber vielleicht könnt ihr mir da aushelfen in der Frage.

    Danke euch!

    Das kann dir keiner versprechen, es ist aber anzunehmen.
    Hier ist Java (noch) installiert aber immer deaktiviert. Das Deployment-Teil wird aber immer nach jedem UpDate händisch gelöscht. Ebenfalls wird die jusched.exe und der JQS gestoppt und dann gelöscht.
    [attachment=0]06-07-2012_184012.JPG[/attachment]
    Da immer noch einige Online-Kartenverkäufer mit Java arbeiten, lasse ich es installiert. Ansonsten benötige ich JAVA nicht. Sobald diese auf eine andere Technik umgestellt haben, fliegt JAVA vom Computer.

    @ firefoxPlug

    Ich weiß nicht, auf was du hinaus willst!? - Wenn du einen konkreten Verdacht hast, dass dein System kompromittiert sein könnte, dann sag das.

    Solange 7Update4 nicht aktiviert war, hielt sich diese Sicherheitslücke jedenfalls in vertretbaren Grenzen. Es sei denn, jemand hätte sich ganz gezielt über eine Hintertüre in dieser Version Zugang zu deinem System verschafft. Das wäre zwar möglich, ist aber reichlich unwahrscheinlich.

    Der übliche Weg einer Java-basierten Kompromittierung läuft so ab, dass auf einer präparierten Webseite ein ebenso präpariertes Java-Applet ausgeführt wird. Das Applet wird indes in einer Java-eigenen Sandbox ausgeführt.

    Das Wörtchen "Sandbox" hält aber nicht, was es verspricht. Immer wieder gelingt es Schädlingen diese Sandbox zu überwinden, und auf das System zu gelangen, auf dem dann via Dropper, Downloader, Backdoor etc. weiterer Schadcode eingeschleust und nachgeladen wird. Das führt wiederum dazu, dass ausführbarer Code mit erhöhten Rechten eines local users (etwa mit Admin-Status) ausgeführt werden kann. Sun Microsystems doktert sei Jahr und Tag daran herum, bekommt seine Sandbox aber nicht wasserdicht. Bei deaktiviertem Java gibt es jedoch keine Sandbox, die überwunden werden könnte. - Insofern Entwarnung.

    Mir war/ist nicht ganz klar, was durch die Deaktivierung des Plugins erreicht wird. Das Programm ist ja weiterhin installiert. Es sah bei mir genauso aus wie im Screenshot von Boersenfeger, also als deaktiviert ausgegraut (halt leider mit Version 4).

    Wenn ich jetzt aber richtig verstanden habe: ich surfe ausschließlich mit FF. Wenn dort das Plugin deaktiviert ist, dann kann auf keiner Webseite Java ausgeführt werden (egal welche Version installiert ist).

    Oder gibt es generell doch auch die Möglichkeit, dass Java über den Browser aktiviert wird, auch wenn das Plugin deaktiviert ist.

    Falls das der Fall ist, würde das Deaktivieren nicht wirklich etwas bringen und dann würde ich mir schon überlegen, ob ich Java nicht doch ganz deinstalliere.

    Danke für euer Geduld!