 |
# taz.de -- Lecks in Programmierumgebung: Java besser abschalten |
|
|
|
> Erneut sind schwere Sicherheitslücken in der weit verbreiteten |
|
> Programmierumgebung Java aufgetaucht – das aber kaum verwendet wird. |
|
> Zeit, sie zu entfernen. |
|
|
 |
Bild: Macht Durst auf Kaffee: Java-Logo. |
|
|
|
BERLIN taz | Es ist ein wenig wie bei einer seit Jahren unabgeschlossenen |
|
Kellertür, von deren Existenz man nichts weiß: Auf den meisten PCs befindet |
|
sich eine Kopie der Programmierumgebung |
|
[1][//en.wikipedia.org/wiki/Java_%28software_platform%29:Java], auch wenn |
|
relativ wenige Nutzer sie überhaupt noch aktiv nutzen. |
|
|
|
Das Problem: Über die Jahre hat es immer wieder schwerwiegende |
|
Sicherheitslücken in Java gegeben und Nutzer neigen dazu, die Software |
|
selten oder gar nicht zu aktualisieren. Da Java auch über ein Plug-in im |
|
Browser aufrufbar ist, lassen sich Löcher in der Programmierumgebung |
|
vergleichsweise leicht ausnutzen. |
|
|
|
Jüngstes Beispiel ist eine kritische Lücke in Java-Version 7, die von |
|
Online-Ganoven bereits aktiv verwendet wurde, um Datenschädlinge zu |
|
installieren. Zwar hat Hersteller Oracle mittlerweile ein [2][Update] |
|
online gestellt. Doch Experten wie der polnische Sicherheitsforscher Adam |
|
Gowdiak, der 2012 zahlreiche Java-Probleme aufgedeckt hatte, glauben nicht, |
|
dass das ausreicht. Die grundsätzlichen Lücken in der Software seien nach |
|
wie vor nicht behoben. „Wir trauen uns nicht, den Usern mitzuteilen, dass |
|
es sicher ist, Java wieder zu aktivieren“, so Gowdiak. |
|
|
|
Sein Kollege HD Moore stieß ins gleiche Horn: Um alle Fehler zu beheben, |
|
die aktuell in Java steckten, mit dem sich viele Nutzer im Internet |
|
bewegen, werde es für Oracle bis zu zwei Jahre dauern – und das nur unter |
|
der Voraussetzung, dass es keine weiteren großen „Exploits“ gebe. |
|
|
|
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt |
|
vor Java. Die von Oracle mittlerweile behobene Schwachstelle sei bereits in |
|
weit verbreiteten Exploit-Kits vorhanden „und kann somit massiv und relativ |
|
einfach ausgenutzt werden“. Noch in der vergangenen Woche |
|
[3][//www.bsi.bund.de/ContentBSIFB/WissenswertesHilfreiches/Service/Aktuell |
|
/Meldungen/Sicherheitsluecke-in-Java-Version_29082012.html:empfahl das BSI] |
|
deshalb, Java in den gängigen Browsern zu deaktivieren. Nach erscheinen der |
|
Oracle-Aktualisierung, die die Versionsnummer Java 7 Update 11 trägt, war |
|
das BSI allerdings bereit, |
|
[4][//www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2013/Entwa |
|
rnung_Update_Schw_Java_7_10_14012013.html:Entwarnung] zu geben: Mit dem |
|
Update könne man die Browser-Plug-ins nun wieder aktivieren und nutzen. |
|
|
|
## Im Auftrag der Regierung |
|
|
|
Ein Problem an Java ist die Tatsache, dass die Programmierumgebung noch |
|
immer bei einigen wichtigen Anwendungen verwendet wird – |
|
problematischerweise auch solchen, die die Bundesregierung in Auftrag |
|
gegeben hat. Dazu gehört etwa ein [5][Werkzeug] für den neuen |
|
Personalausweis, mit dem die sogenannte eID-Funktion verwendet werden kann. |
|
Dass es auch ohne Java geht, zeigt indes Apple: Dessen jüngstes |
|
Betriebssystem Mountain Lion kommt standardmäßig ganz ohne die Software. |
|
Wer sie wirklich will, muss sie nachinstallieren. |
|
|
|
Neben Java gilt auch die Multimedia-Umgebung Flash als großes Einfallstor |
|
für Online-Angreifer. Diese wird im Gegensatz zu Java im Netz noch vielfach |
|
verwendet, beispielsweise zur Darstellung von Videos oder Browserspielen. |
|
Das Problem: Viele Nutzer halten Flash nicht aktuell, so dass bereits |
|
bekannte Sicherheitslücken auf ihrem Rechner bestehen bleiben. Ähnlich wie |
|
bei Java sind bei Flash sogenannte „Drive-by-Exploits“ möglich: Dabei |
|
reicht es aus, eine infizierte Web-Seite im Browser nur aufzurufen, um sich |
|
einen Datenschädling einzufangen. Flash sollte daher über die eingebaute |
|
Update-Funktion automatisch aktualisiert werden. |
|
|
|
Alternativ lässt sich auch ein Browser wie [6][Google Chrome] einsetzen, |
|
der Flash selbst und unabhängig vom restlichen Betriebssystem aktuell hält. |
|
Sowohl Java als auch Flash lassen sich zudem im Browser so einstellen, dass |
|
sie nicht automatisch, sondern nur per Klick des Nutzers ausgeführt werden |
|
können. Dieses Feature steckt als „Click to Play“ beispielsweise in |
|
[7][Firefox], aber auch in Chrome. Die Firefox-Macher haben diese Funktion |
|
für die von Sicherheitslücken betroffene Java-Version mittlerweile |
|
[8][automatisch aktiviert]. |
|
|
|
15 Jan 2013 |
|
|
|
## LINKS |
|
|
 |
[1] http://https |
|
[2] http://www.heise.de/security/meldung/Oracle-patcht-kritische-Java-Luecke-17… |
|
[3] http://https |
|
[4] http://https |
|
[5] http://de.wikipedia.org/wiki/Personalausweis_(Deutschland)#eID-Funktion |
|
[6] /Vor--und-Nachteile-von-Googles-Chrome-/!97461/ |
|
[7] http://blog.mozilla.org/addons/2012/10/11/click-to-play-coming-firefox-17/ |
|
[8] http://blog.mozilla.org/security/2013/01/11/protecting-users-against-java-v… |
|
|
|
## AUTOREN |
|
|
|
Ben Schwan |
|
|
|
## TAGS |
|
|
|
Firefox |
|
Browser |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Sicherheitslücken beim Internet Explorer: Bundesamt empfiehlt Abschaltung |
|
|
|
Der Browser Internet Explorer ist nach Ansicht des Bundesamtes für |
|
Sicherheit in der Informationstechnik ein hohes Sicherheitsrisiko. Er |
|
sollte nicht genutzt werden. |
|
|
|
Sicheres Chatten mit Crypto.cat: Der Katzenkryptograf |
|
|
|
Nutzer haben Vieles im Netz nicht unter ihrer Kontrolle, findet Nadim |
|
Kobeissi. Deshalb hat er einen verschlüsselten Browserchat erfunden. |
