# taz.de -- Lecks in Programmierumgebung: Java besser abschalten | |
> Erneut sind schwere Sicherheitslücken in der weit verbreiteten | |
> Programmierumgebung Java aufgetaucht – das aber kaum verwendet wird. | |
> Zeit, sie zu entfernen. | |
Bild: Macht Durst auf Kaffee: Java-Logo. | |
BERLIN taz | Es ist ein wenig wie bei einer seit Jahren unabgeschlossenen | |
Kellertür, von deren Existenz man nichts weiß: Auf den meisten PCs befindet | |
sich eine Kopie der Programmierumgebung | |
[1][//en.wikipedia.org/wiki/Java_%28software_platform%29:Java], auch wenn | |
relativ wenige Nutzer sie überhaupt noch aktiv nutzen. | |
Das Problem: Über die Jahre hat es immer wieder schwerwiegende | |
Sicherheitslücken in Java gegeben und Nutzer neigen dazu, die Software | |
selten oder gar nicht zu aktualisieren. Da Java auch über ein Plug-in im | |
Browser aufrufbar ist, lassen sich Löcher in der Programmierumgebung | |
vergleichsweise leicht ausnutzen. | |
Jüngstes Beispiel ist eine kritische Lücke in Java-Version 7, die von | |
Online-Ganoven bereits aktiv verwendet wurde, um Datenschädlinge zu | |
installieren. Zwar hat Hersteller Oracle mittlerweile ein [2][Update] | |
online gestellt. Doch Experten wie der polnische Sicherheitsforscher Adam | |
Gowdiak, der 2012 zahlreiche Java-Probleme aufgedeckt hatte, glauben nicht, | |
dass das ausreicht. Die grundsätzlichen Lücken in der Software seien nach | |
wie vor nicht behoben. „Wir trauen uns nicht, den Usern mitzuteilen, dass | |
es sicher ist, Java wieder zu aktivieren“, so Gowdiak. | |
Sein Kollege HD Moore stieß ins gleiche Horn: Um alle Fehler zu beheben, | |
die aktuell in Java steckten, mit dem sich viele Nutzer im Internet | |
bewegen, werde es für Oracle bis zu zwei Jahre dauern – und das nur unter | |
der Voraussetzung, dass es keine weiteren großen „Exploits“ gebe. | |
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt | |
vor Java. Die von Oracle mittlerweile behobene Schwachstelle sei bereits in | |
weit verbreiteten Exploit-Kits vorhanden „und kann somit massiv und relativ | |
einfach ausgenutzt werden“. Noch in der vergangenen Woche | |
[3][//www.bsi.bund.de/ContentBSIFB/WissenswertesHilfreiches/Service/Aktuell | |
/Meldungen/Sicherheitsluecke-in-Java-Version_29082012.html:empfahl das BSI] | |
deshalb, Java in den gängigen Browsern zu deaktivieren. Nach erscheinen der | |
Oracle-Aktualisierung, die die Versionsnummer Java 7 Update 11 trägt, war | |
das BSI allerdings bereit, | |
[4][//www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2013/Entwa | |
rnung_Update_Schw_Java_7_10_14012013.html:Entwarnung] zu geben: Mit dem | |
Update könne man die Browser-Plug-ins nun wieder aktivieren und nutzen. | |
## Im Auftrag der Regierung | |
Ein Problem an Java ist die Tatsache, dass die Programmierumgebung noch | |
immer bei einigen wichtigen Anwendungen verwendet wird – | |
problematischerweise auch solchen, die die Bundesregierung in Auftrag | |
gegeben hat. Dazu gehört etwa ein [5][Werkzeug] für den neuen | |
Personalausweis, mit dem die sogenannte eID-Funktion verwendet werden kann. | |
Dass es auch ohne Java geht, zeigt indes Apple: Dessen jüngstes | |
Betriebssystem Mountain Lion kommt standardmäßig ganz ohne die Software. | |
Wer sie wirklich will, muss sie nachinstallieren. | |
Neben Java gilt auch die Multimedia-Umgebung Flash als großes Einfallstor | |
für Online-Angreifer. Diese wird im Gegensatz zu Java im Netz noch vielfach | |
verwendet, beispielsweise zur Darstellung von Videos oder Browserspielen. | |
Das Problem: Viele Nutzer halten Flash nicht aktuell, so dass bereits | |
bekannte Sicherheitslücken auf ihrem Rechner bestehen bleiben. Ähnlich wie | |
bei Java sind bei Flash sogenannte „Drive-by-Exploits“ möglich: Dabei | |
reicht es aus, eine infizierte Web-Seite im Browser nur aufzurufen, um sich | |
einen Datenschädling einzufangen. Flash sollte daher über die eingebaute | |
Update-Funktion automatisch aktualisiert werden. | |
Alternativ lässt sich auch ein Browser wie [6][Google Chrome] einsetzen, | |
der Flash selbst und unabhängig vom restlichen Betriebssystem aktuell hält. | |
Sowohl Java als auch Flash lassen sich zudem im Browser so einstellen, dass | |
sie nicht automatisch, sondern nur per Klick des Nutzers ausgeführt werden | |
können. Dieses Feature steckt als „Click to Play“ beispielsweise in | |
[7][Firefox], aber auch in Chrome. Die Firefox-Macher haben diese Funktion | |
für die von Sicherheitslücken betroffene Java-Version mittlerweile | |
[8][automatisch aktiviert]. | |
15 Jan 2013 | |
## LINKS | |
[1] http://https | |
[2] http://www.heise.de/security/meldung/Oracle-patcht-kritische-Java-Luecke-17… | |
[3] http://https | |
[4] http://https | |
[5] http://de.wikipedia.org/wiki/Personalausweis_(Deutschland)#eID-Funktion | |
[6] /Vor--und-Nachteile-von-Googles-Chrome-/!97461/ | |
[7] http://blog.mozilla.org/addons/2012/10/11/click-to-play-coming-firefox-17/ | |
[8] http://blog.mozilla.org/security/2013/01/11/protecting-users-against-java-v… | |
## AUTOREN | |
Ben Schwan | |
## TAGS | |
Firefox | |
Browser | |
## ARTIKEL ZUM THEMA | |
Sicheres Chatten mit Crypto.cat: Der Katzenkryptograf | |
Nutzer haben Vieles im Netz nicht unter ihrer Kontrolle, findet Nadim | |
Kobeissi. Deshalb hat er einen verschlüsselten Browserchat erfunden. | |
Sicherheitslücken beim Internet Explorer: Bundesamt empfiehlt Abschaltung | |
Der Browser Internet Explorer ist nach Ansicht des Bundesamtes für | |
Sicherheit in der Informationstechnik ein hohes Sicherheitsrisiko. Er | |
sollte nicht genutzt werden. |