piwik no script img

taz zahl ich

Lecks in ProgrammierumgebungJava besser abschalten

Erneut sind schwere Sicherheitslücken in der weit verbreiteten Programmierumgebung Java aufgetaucht – das aber kaum verwendet wird. Zeit, sie zu entfernen.

Macht Durst auf Kaffee: Java-Logo. Bild: Oracle
Von Ben Schwan

BERLIN taz | Es ist ein wenig wie bei einer seit Jahren unabgeschlossenen Kellertür, von deren Existenz man nichts weiß: Auf den meisten PCs befindet sich eine Kopie der Programmierumgebung //en.wikipedia.org/wiki/Java_%28software_platform%29:Java, auch wenn relativ wenige Nutzer sie überhaupt noch aktiv nutzen.

Das Problem: Über die Jahre hat es immer wieder schwerwiegende Sicherheitslücken in Java gegeben und Nutzer neigen dazu, die Software selten oder gar nicht zu aktualisieren. Da Java auch über ein Plug-in im Browser aufrufbar ist, lassen sich Löcher in der Programmierumgebung vergleichsweise leicht ausnutzen.

Jüngstes Beispiel ist eine kritische Lücke in Java-Version 7, die von Online-Ganoven bereits aktiv verwendet wurde, um Datenschädlinge zu installieren. Zwar hat Hersteller Oracle mittlerweile ein Update online gestellt. Doch Experten wie der polnische Sicherheitsforscher Adam Gowdiak, der 2012 zahlreiche Java-Probleme aufgedeckt hatte, glauben nicht, dass das ausreicht. Die grundsätzlichen Lücken in der Software seien nach wie vor nicht behoben. „Wir trauen uns nicht, den Usern mitzuteilen, dass es sicher ist, Java wieder zu aktivieren“, so Gowdiak.

Sein Kollege HD Moore stieß ins gleiche Horn: Um alle Fehler zu beheben, die aktuell in Java steckten, mit dem sich viele Nutzer im Internet bewegen, werde es für Oracle bis zu zwei Jahre dauern – und das nur unter der Voraussetzung, dass es keine weiteren großen „Exploits“ gebe.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Java. Die von Oracle mittlerweile behobene Schwachstelle sei bereits in weit verbreiteten Exploit-Kits vorhanden „und kann somit massiv und relativ einfach ausgenutzt werden“. Noch in der vergangenen Woche //www.bsi.bund.de/ContentBSIFB/WissenswertesHilfreiches/Service/Aktuell/Meldungen/Sicherheitsluecke-in-Java-Version_29082012.html:empfahl das BSI deshalb, Java in den gängigen Browsern zu deaktivieren. Nach erscheinen der Oracle-Aktualisierung, die die Versionsnummer Java 7 Update 11 trägt, war das BSI allerdings bereit, //www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2013/Entwarnung_Update_Schw_Java_7_10_14012013.html:Entwarnung zu geben: Mit dem Update könne man die Browser-Plug-ins nun wieder aktivieren und nutzen.

Im Auftrag der Regierung

Ein Problem an Java ist die Tatsache, dass die Programmierumgebung noch immer bei einigen wichtigen Anwendungen verwendet wird – problematischerweise auch solchen, die die Bundesregierung in Auftrag gegeben hat. Dazu gehört etwa ein Werkzeug für den neuen Personalausweis, mit dem die sogenannte eID-Funktion verwendet werden kann. Dass es auch ohne Java geht, zeigt indes Apple: Dessen jüngstes Betriebssystem Mountain Lion kommt standardmäßig ganz ohne die Software. Wer sie wirklich will, muss sie nachinstallieren.

Neben Java gilt auch die Multimedia-Umgebung Flash als großes Einfallstor für Online-Angreifer. Diese wird im Gegensatz zu Java im Netz noch vielfach verwendet, beispielsweise zur Darstellung von Videos oder Browserspielen. Das Problem: Viele Nutzer halten Flash nicht aktuell, so dass bereits bekannte Sicherheitslücken auf ihrem Rechner bestehen bleiben. Ähnlich wie bei Java sind bei Flash sogenannte „Drive-by-Exploits“ möglich: Dabei reicht es aus, eine infizierte Web-Seite im Browser nur aufzurufen, um sich einen Datenschädling einzufangen. Flash sollte daher über die eingebaute Update-Funktion automatisch aktualisiert werden.

Alternativ lässt sich auch ein Browser wie Google Chrome einsetzen, der Flash selbst und unabhängig vom restlichen Betriebssystem aktuell hält. Sowohl Java als auch Flash lassen sich zudem im Browser so einstellen, dass sie nicht automatisch, sondern nur per Klick des Nutzers ausgeführt werden können. Dieses Feature steckt als „Click to Play“ beispielsweise in Firefox, aber auch in Chrome. Die Firefox-Macher haben diese Funktion für die von Sicherheitslücken betroffene Java-Version mittlerweile automatisch aktiviert.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Themen #Firefox #Browser
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema

Sicherheitslücken beim Internet Explorer

Bundesamt empfiehlt Abschaltung

Der Browser Internet Explorer ist nach Ansicht des Bundesamtes für Sicherheit in der Informationstechnik ein hohes Sicherheitsrisiko. Er sollte nicht genutzt werden.

Sicheres Chatten mit Crypto.cat

Der Katzenkryptograf

Nutzer haben Vieles im Netz nicht unter ihrer Kontrolle, findet Nadim Kobeissi. Deshalb hat er einen verschlüsselten Browserchat erfunden.
Von Burkhard Schröder

taz in der App

Jetzt kostenlos testen

Lesen Sie die taz in der App 6 Wochen lang – und das ohne jede Kosten. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört. 100% konzernfrei.
Jetzt bestellen

14 Kommentare

 / 
  • C
    Copieur

    Das "Schönste" ist ja, dass Unternehmer _verpflichtet_ sind, ihre Steuererklärung online (per "Elster") abzugeben. Elster verlangt - Java. Und zwar in einer hoffnungslos veralteten Version.

     

    Also, da haben wir eine neue Version des Bundestrojaners Schäubles...

     

    SCNR

  • SA
    Scripte abschalten

    in Firefox: das Add-On "Noscript" installieren, Scripte werden geblockt, wenn man sie nicht ausdrücklich, je nach Webseite, erlaubt.

    Javascript ist zwar nicht Java, aber wie Flash ein Einfallstor.

    Weitere notorische Lücke: ActiveX (Windows).

    Abhilfe:

    XP-Antispy (gratis) installieren, schließt noch weitere Lücken. Im Administrator-Account auf "Update" einstellen, im Benutzer-Account auf "empfohlen", Updates als Administrator 1x per Woche manuell machen, sonst nur Benutzer-Account verwenden.

     

    Chrome ist von Google- no comment.

     

    (Viren)-Scanner für das System können nur vernünftig funktionieren, wenn das System, welches überprüft wird, abgeschaltet ist und es von außen geprüft wird- also Start mit anderem System von zweiter Festplatte oder USB-Stick.

     

    http://www.softonic.de/s/virenscanner-usb

     

    Für solche Wartungsarbeiten gibt es auch gratis verschiedene einfach zu bedienende, voreingestellte Linux- Versionen.

     

     

    Zu Oracle: doofe Firma, hat sich OpenOffice unter den Nagel gerissen, jetzt deswegen bessere Alternative:

     

    http://www.libreoffice.org

     

    Spezielle Anwendungen:

    Alternativen zu Virtualbox (Oracle): bochs oder qemu

  • L
    logo

    Das Problem ist einzig und alleine das Browser-Plug-In von Java, welches in Firefox etc. deaktiviert werden sollte.

     

    Es gibt viele wichtige Programme, die ohne Java nicht auskommen, wie z.B. OpenOffice und auch viele Systemprogramme.

     

    Java sollte deshalb auf jedem modernen Betriebssystem installiert sein. Bei Apple geht das zum Glück relativ einfach, bei Linux ebenfalls.

  • H
    Hallo

    Nichts ist sicher auser der Tod ! Mal wieder Ordentlich für Google Chrome Werbung gemacht. Prima. Gerade Google Chrome ist sehr Datenschutz Freundlich? Windows ist generel sehr anfällig.

  • S
    Steuererklärer

    Das "Schönste" ist ja, dass Unternehmer _verpflichtet_ sind, ihre Steuererklärung online (per "Elster") abzugeben. Elster verlangt - Java. Und zwar in einer hoffnungslos veralteten Version.

     

    Wer also die Sicherheitslücken stopft, bekommt Ärger mit dem Finanzamt.

     

    Könnte mal bitte ein betroffener Unternehmer eine einstweilige Anordnung gegen die Verpflichtung zur Online-Steuererklärung erwirken, die so lange gilt, bis die Vögel eine brauchbare Software entwickelt haben?!

  • MW
    Martin W.

    "Dass es auch ohne Java geht, zeigt indes Apple: Dessen jüngstes Betriebssystem Mountain Lion kommt standardmäßig ganz ohne die Software. Wer sie wirklich will, muss sie nachinstallieren"

    So wie bei allen gängigen Betriebssystemen.

    Der Artikel zeigt ein hohes Maß an Unwissen, was schade ist. Jeder Programmierer weiß, dass PHP und JavaScript, also die gängigen Scriptsprachen zur Webentwicklung durch ihre Typunsicherheit schrecklich sind. Java hingegen stellt eine vollständige Programmiersprache dar, welche hervorragend logisch umgesetzt ist.

    Dass Java im Web immer weniger auftaucht, liegt nicht an Sicherheitslücken, sondern an 3 Sekunden Wartezeit für den Start der Java-Engine, den die Benutzer nicht hinnehmen.

    Fazit: taz politisch gut, technisch schlecht. Sie sollten darüber andere berichten lassen

  • P
    Pit

    Autsch.

    Zur Erklärung für den Autor und Neugierige:

     

    Java = Technische Spezifikation bestehend aus

    (1) der gleichnamigen objektorientierte Programmiersprache

    (2) der auf einer Virtuellen Maschine (VM) basierenden Laufzeitumgebung JRE (Java Runtime Environment) zum Ausführen von in dieser Sprache geschriebenen Programmen

    (das eigentliche bei den meisten "installierte Java" - hier treten die kritisierten Fehler auf, nicht in der...)

    (3) der 'Programmierumgebung' JDK (Java Development Kit) zur Erstellen von lauffähigen Java-Programmen (wird hauptsächlich von Programmierern/Softwareentwicklern benutzt)

     

    Das BSI schreibt darum auch in den (fehlerhaft verlinkten*) Dokumenten konsequent von der "Java Laufzeitumgebung", nicht von der 'Programmierumgebung' (besser: Entwicklungsumgebung).

     

    * Richtige HTTPS-Links:

     

    https://www.bsi.bund.de/ContentBSIFB/WissenswertesHilfreiches/Service/Aktuell/Meldungen/Sicherheitsluecke-in-Java-Version_29082012.html

     

    https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2013/Entwarnung_Update_Schw_Java_7_10_14012013.html

  • C
    Copieur

    empfahl das BSI deshalb, Java in den gängigen Browsern zu deaktivieren.

     

    Ich muss feststellen, es ist leichter zu sagen als zu tun.

     

    In Firefox und Chrome lässt sich Java ziemlich einfach deaktivieren. Ich habe es schon vor Monaten getan.

     

    Das geht leider nicht in Microsoft Internet Explorer 9, obwohl dessen Einstellungen es angeblich ermöglichen. Das Häckchen in der Java-Steuerung ist auch unauschaltbar. Ich war schockiert, als die Heise Testseite mitteilte, das Java immer noch aktiv war.

     

    Ich habe letzendlich der ganze Java-Platform (32+64 bit Klienten, SDK, usw.) einfach entfernt, und werde bis auf weiteres auf einige Anwendungen verzichten.

     

    Schade.

  • I
    Informatiker

    Java lutscht.

  • M
    Multics

    @gustav:

     

    Java ist nur eine Programmiersprache von vielen und keineswegs der Stein der Weisen. Vieles

    ist einfach Geschmackssache. Auch Aussagen

    wie " aussagefähige APIs auch eher selbsterklärend"

    => reine Geschmackssache. Ich finde zB Qt (für C++)

    viel besser designed.

     

    Multics.

  • J
    Jojo

    Das Problem betrifft natürlich die Java Laufzeitumgebung (JRE, Java Runtime Environment) und nicht irgend eine Programmierumgebung...

  • G
    gustav

    Der Autor Ben Schwan drückt aus, dass

    Java nur eine minderwertige Programmiersprache

    sei.

    Dem muss ich entschieden widersprechen.

    Java ist eine hervorragende, extrem mächtige

    Programmiersprache.

    Die Programmiersprache selber ist super und

    verglichen mit anderen C, C++, Python, Pearl,

    Visual Basic gut leserlich, für

    low Level und High-Level Aufgaben adaptierbar,

    skalierbar, portabel, verständlich,

    durch aussagefähige APIs auch eher selbsterklärend

    und deren Projekte noch einigermaßen überschaubar.

    Das Konzept ist unbedingt weiter fortsetzungswürdig

    und alles andere als ein alter Hut!

     

    Lediglich die Überwachung der mitgelieferten

    Infrastruktur auf gefährliche und unautorisierte

    Fremdeingriffe muss verbessert werden.

    Mein Fazit: Java ist super, nur die mitgelieferte

    Infrastruktur bedarf einer totalen ständigen

    nutzerabhängigen und administrationskonformen

    Überwachung. Das Programmierkonzept, sofern

    die Sprachdialekte wieder abschafft und

    ein systemkonformes einfaches Java durchsetzt,

    ist exzellent.

     

    Meinungen, wie die Ben Schwan rühren von einen

    bedauerlichen Programmierchauvinismus her, der

    viele andere Menschen durch überkomplexe, syntaktisch

    und schreibästhetisch eklige

    Programmiersprachen vom Programmieren abhalten soll

    und kleine Ersatzdaddelprogrammiersprachen

    (Ruby, Pearl, auch Python) mit Freakpotential hochstilisieren, wenn gleich auch damit

    schon hochkomplexe Projekte realisiert wurden.

    Java ist für viele beherrschbar und damit auch gut!

     

    Die Freiheit des mündigen programmierfähigen

    Computernutzers ist ein positives urdemokratisches Ideal und nicht die des unfähigen Nurkonsumenten!

    Verbauen Sie den Menschen nicht dem Zugang

    zum Können!

  • SE
    S. E.

    "Dass es auch ohne Java geht, zeigt indes Apple: Dessen jüngstes Betriebssystem Mountain Lion kommt standardmäßig ganz ohne die Software"

    Microsoft "zeigt" das schon seit Jahren. Wann immer ich Java gebraucht habe, z.B. für meine Einkommenssteuererklärung, habe ich es selbst nachinstalliert. Nur bei Apple war Java vorinstalliert. Und somit wohl auch bei dem Autor dieses Artikels.

  • MM
    Mirko Malessa

    "(...) in der weit verbreiteten Programmierumgebung Java aufgetaucht – das aber kaum verwendet wird."

     

    Kopf. Tisch.

meistkommentiert

1

Resolution gegen Antisemitismus

Nicht komplex genug

2

Höfliche Anrede

Siez mich nicht so an

3

Nach Hinrichtung von Jamshid Sharmahd

„Warum haben wir abgewartet, bis mein Vater tot ist?“

4

Grundsatzpapier des Finanzministers

Lindner setzt die Säge an die Ampel und an die Klimapolitik

5

Serpil Temiz-Unvar

„Seine Angriffe werden weitergehen“

6

Strategien gegen Fake-News

Das Dilemma der freien Rede