Hallo zusammen,

kennt jemand eine Möglichkeit, sich schnell alle behobenen Sicherheitslücken zwischen zwei "Java RE"-Versionen (z.B. 6 Update 31 und Update 43) auflisten zu lassen?

Danke!

release notes angucken?

http://www.oracle.com/technetwork/java/javase/7u-relnotes-515228.html
http://www.oracle.com/technetwork/java/javase/releasenotes-136954.html

Eine Übersicht der öffentlich bekannten findest du z.b. auch bei Secunia (1.7 (https://secunia.com/advisories/product/37734) / 1.6 (https://secunia.com/advisories/product/12878/)), so dass man auch da nachsehen könnte in welcher Version welcher Fehler behoben wurde.

Momentan würde ich davon ausgehen, dass Java (selbst 7 Update 17) nur crap ist.
http://www.golem.de/news/eric-romang-signierter-java-exploit-umgeht-neue-sicherheitseinstellung-1303-98025.html
http://www.golem.de/news/java-7-se-update-17-der-naechste-notfallpatch-fuer-java-1303-97975.html <-- Tick älter

release notes angucken?

Ich bin nicht blöd. Die Releasenotes habe ich natürlich im Vorfeld gesucht, gefunden und überflogen. Aber dort sind erstmal nur die CVEs aufgelistet. Ich habe nach einer Möglichkeit gefragt, wie ich schnell an die behobenen Sicherheitslücken im Klartext komme. Hätte ja sein können, dass es da eine übersichtliche Datenbank zu gibt.

Wie dem auch sei, ich habe nun die CVEs aus den Changelogs von 1.6 U31-U43 nach den CVEs durchforstet und über https://portal.cert.dfn.de/adv/archive/ die zugehörige Beschreibung (sogar in deutsch) gefunden.

Momentan würde ich davon ausgehen, dass Java (selbst 7 Update 17) nur crap ist.

Und genau darum geht es: meinem Chef klar zu machen, dass Java und im Besonderen die von uns eingesetzte Version 1.6 Update 31 crap ist. :wink:

Und genau darum geht es: meinem Chef klar zu machen, dass Java und im Besonderen die von uns eingesetzte Version 1.6 Update 31 crap ist. :wink:
Die Sicherheitslücken betreffen im Wesentlichen ja das Browser PlugIn. Das zu nutzen ist allgemein schon riskant. In der nicht aktuellesten Version ist das absolut fahrlässig.

So sieht's aus. Leider gibt es keine Möglichkeit, das Java Web Plug-In im IE 8 separat zu deaktivieren... Da hilft nur eine Deinstallation des gesamten RE, welches wir jedoch für lokale Applikationen benötigen.

So sieht's aus. Leider gibt es keine Möglichkeit, das Java Web Plug-In im IE 8 separat zu deaktivieren... Da hilft nur eine Deinstallation des gesamten RE, welches wir jedoch für lokale Applikationen benötigen.Man kann das PlugIn in der Systemsteuerung deaktivieren. Ist aber glaube ich erst vor ein paar Versionen hinzugekommen.

Das geht nur in Java 7, nicht in Java 6.

In der Theorie kann man auch hier über die Add-On-Verwaltung des IE, über das Java Control Panel oder über Registry-Einträge (ActiveX Kill-Bits) das Plug-In deaktivieren. Nur leider bringt das alles nix, die diversen Java Test-Webseiten erkennen/starten das Plug-In dennoch. Hab ich so auch in vielen Guides zum Deaktivieren des Plug-Ins gelesen, dass man es auf diese Weise nicht vollständig deaktiviert bekommt, nur durch eine Deinstallation des RE.