Lecks in Programmierumgebung: Java besser abschalten
Erneut sind schwere Sicherheitslücken in der weit verbreiteten Programmierumgebung Java aufgetaucht – das aber kaum verwendet wird. Zeit, sie zu entfernen.
BERLIN taz | Es ist ein wenig wie bei einer seit Jahren unabgeschlossenen Kellertür, von deren Existenz man nichts weiß: Auf den meisten PCs befindet sich eine Kopie der Programmierumgebung //en.wikipedia.org/wiki/Java_%28software_platform%29:Java, auch wenn relativ wenige Nutzer sie überhaupt noch aktiv nutzen.
Das Problem: Über die Jahre hat es immer wieder schwerwiegende Sicherheitslücken in Java gegeben und Nutzer neigen dazu, die Software selten oder gar nicht zu aktualisieren. Da Java auch über ein Plug-in im Browser aufrufbar ist, lassen sich Löcher in der Programmierumgebung vergleichsweise leicht ausnutzen.
Jüngstes Beispiel ist eine kritische Lücke in Java-Version 7, die von Online-Ganoven bereits aktiv verwendet wurde, um Datenschädlinge zu installieren. Zwar hat Hersteller Oracle mittlerweile ein Update online gestellt. Doch Experten wie der polnische Sicherheitsforscher Adam Gowdiak, der 2012 zahlreiche Java-Probleme aufgedeckt hatte, glauben nicht, dass das ausreicht. Die grundsätzlichen Lücken in der Software seien nach wie vor nicht behoben. „Wir trauen uns nicht, den Usern mitzuteilen, dass es sicher ist, Java wieder zu aktivieren“, so Gowdiak.
Sein Kollege HD Moore stieß ins gleiche Horn: Um alle Fehler zu beheben, die aktuell in Java steckten, mit dem sich viele Nutzer im Internet bewegen, werde es für Oracle bis zu zwei Jahre dauern – und das nur unter der Voraussetzung, dass es keine weiteren großen „Exploits“ gebe.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Java. Die von Oracle mittlerweile behobene Schwachstelle sei bereits in weit verbreiteten Exploit-Kits vorhanden „und kann somit massiv und relativ einfach ausgenutzt werden“. Noch in der vergangenen Woche //www.bsi.bund.de/ContentBSIFB/WissenswertesHilfreiches/Service/Aktuell/Meldungen/Sicherheitsluecke-in-Java-Version_29082012.html:empfahl das BSI deshalb, Java in den gängigen Browsern zu deaktivieren. Nach erscheinen der Oracle-Aktualisierung, die die Versionsnummer Java 7 Update 11 trägt, war das BSI allerdings bereit, //www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2013/Entwarnung_Update_Schw_Java_7_10_14012013.html:Entwarnung zu geben: Mit dem Update könne man die Browser-Plug-ins nun wieder aktivieren und nutzen.
Im Auftrag der Regierung
Ein Problem an Java ist die Tatsache, dass die Programmierumgebung noch immer bei einigen wichtigen Anwendungen verwendet wird – problematischerweise auch solchen, die die Bundesregierung in Auftrag gegeben hat. Dazu gehört etwa ein Werkzeug für den neuen Personalausweis, mit dem die sogenannte eID-Funktion verwendet werden kann. Dass es auch ohne Java geht, zeigt indes Apple: Dessen jüngstes Betriebssystem Mountain Lion kommt standardmäßig ganz ohne die Software. Wer sie wirklich will, muss sie nachinstallieren.
Neben Java gilt auch die Multimedia-Umgebung Flash als großes Einfallstor für Online-Angreifer. Diese wird im Gegensatz zu Java im Netz noch vielfach verwendet, beispielsweise zur Darstellung von Videos oder Browserspielen. Das Problem: Viele Nutzer halten Flash nicht aktuell, so dass bereits bekannte Sicherheitslücken auf ihrem Rechner bestehen bleiben. Ähnlich wie bei Java sind bei Flash sogenannte „Drive-by-Exploits“ möglich: Dabei reicht es aus, eine infizierte Web-Seite im Browser nur aufzurufen, um sich einen Datenschädling einzufangen. Flash sollte daher über die eingebaute Update-Funktion automatisch aktualisiert werden.
Alternativ lässt sich auch ein Browser wie Google Chrome einsetzen, der Flash selbst und unabhängig vom restlichen Betriebssystem aktuell hält. Sowohl Java als auch Flash lassen sich zudem im Browser so einstellen, dass sie nicht automatisch, sondern nur per Klick des Nutzers ausgeführt werden können. Dieses Feature steckt als „Click to Play“ beispielsweise in Firefox, aber auch in Chrome. Die Firefox-Macher haben diese Funktion für die von Sicherheitslücken betroffene Java-Version mittlerweile automatisch aktiviert.
Leser*innenkommentare
Copieur
Gast
Das "Schönste" ist ja, dass Unternehmer _verpflichtet_ sind, ihre Steuererklärung online (per "Elster") abzugeben. Elster verlangt - Java. Und zwar in einer hoffnungslos veralteten Version.
Also, da haben wir eine neue Version des Bundestrojaners Schäubles...
SCNR
Scripte abschalten
Gast
in Firefox: das Add-On "Noscript" installieren, Scripte werden geblockt, wenn man sie nicht ausdrücklich, je nach Webseite, erlaubt.
Javascript ist zwar nicht Java, aber wie Flash ein Einfallstor.
Weitere notorische Lücke: ActiveX (Windows).
Abhilfe:
XP-Antispy (gratis) installieren, schließt noch weitere Lücken. Im Administrator-Account auf "Update" einstellen, im Benutzer-Account auf "empfohlen", Updates als Administrator 1x per Woche manuell machen, sonst nur Benutzer-Account verwenden.
Chrome ist von Google- no comment.
(Viren)-Scanner für das System können nur vernünftig funktionieren, wenn das System, welches überprüft wird, abgeschaltet ist und es von außen geprüft wird- also Start mit anderem System von zweiter Festplatte oder USB-Stick.
http://www.softonic.de/s/virenscanner-usb
Für solche Wartungsarbeiten gibt es auch gratis verschiedene einfach zu bedienende, voreingestellte Linux- Versionen.
Zu Oracle: doofe Firma, hat sich OpenOffice unter den Nagel gerissen, jetzt deswegen bessere Alternative:
http://www.libreoffice.org
Spezielle Anwendungen:
Alternativen zu Virtualbox (Oracle): bochs oder qemu
logo
Gast
Das Problem ist einzig und alleine das Browser-Plug-In von Java, welches in Firefox etc. deaktiviert werden sollte.
Es gibt viele wichtige Programme, die ohne Java nicht auskommen, wie z.B. OpenOffice und auch viele Systemprogramme.
Java sollte deshalb auf jedem modernen Betriebssystem installiert sein. Bei Apple geht das zum Glück relativ einfach, bei Linux ebenfalls.
Hallo
Gast
Nichts ist sicher auser der Tod ! Mal wieder Ordentlich für Google Chrome Werbung gemacht. Prima. Gerade Google Chrome ist sehr Datenschutz Freundlich? Windows ist generel sehr anfällig.
Steuererklärer
Gast
Das "Schönste" ist ja, dass Unternehmer _verpflichtet_ sind, ihre Steuererklärung online (per "Elster") abzugeben. Elster verlangt - Java. Und zwar in einer hoffnungslos veralteten Version.
Wer also die Sicherheitslücken stopft, bekommt Ärger mit dem Finanzamt.
Könnte mal bitte ein betroffener Unternehmer eine einstweilige Anordnung gegen die Verpflichtung zur Online-Steuererklärung erwirken, die so lange gilt, bis die Vögel eine brauchbare Software entwickelt haben?!
Martin W.
Gast
"Dass es auch ohne Java geht, zeigt indes Apple: Dessen jüngstes Betriebssystem Mountain Lion kommt standardmäßig ganz ohne die Software. Wer sie wirklich will, muss sie nachinstallieren"
So wie bei allen gängigen Betriebssystemen.
Der Artikel zeigt ein hohes Maß an Unwissen, was schade ist. Jeder Programmierer weiß, dass PHP und JavaScript, also die gängigen Scriptsprachen zur Webentwicklung durch ihre Typunsicherheit schrecklich sind. Java hingegen stellt eine vollständige Programmiersprache dar, welche hervorragend logisch umgesetzt ist.
Dass Java im Web immer weniger auftaucht, liegt nicht an Sicherheitslücken, sondern an 3 Sekunden Wartezeit für den Start der Java-Engine, den die Benutzer nicht hinnehmen.
Fazit: taz politisch gut, technisch schlecht. Sie sollten darüber andere berichten lassen
Pit
Gast
Autsch.
Zur Erklärung für den Autor und Neugierige:
Java = Technische Spezifikation bestehend aus
(1) der gleichnamigen objektorientierte Programmiersprache
(2) der auf einer Virtuellen Maschine (VM) basierenden Laufzeitumgebung JRE (Java Runtime Environment) zum Ausführen von in dieser Sprache geschriebenen Programmen
(das eigentliche bei den meisten "installierte Java" - hier treten die kritisierten Fehler auf, nicht in der...)
(3) der 'Programmierumgebung' JDK (Java Development Kit) zur Erstellen von lauffähigen Java-Programmen (wird hauptsächlich von Programmierern/Softwareentwicklern benutzt)
Das BSI schreibt darum auch in den (fehlerhaft verlinkten*) Dokumenten konsequent von der "Java Laufzeitumgebung", nicht von der 'Programmierumgebung' (besser: Entwicklungsumgebung).
* Richtige HTTPS-Links:
https://www.bsi.bund.de/ContentBSIFB/WissenswertesHilfreiches/Service/Aktuell/Meldungen/Sicherheitsluecke-in-Java-Version_29082012.html
https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2013/Entwarnung_Update_Schw_Java_7_10_14012013.html
Copieur
Gast
empfahl das BSI deshalb, Java in den gängigen Browsern zu deaktivieren.
Ich muss feststellen, es ist leichter zu sagen als zu tun.
In Firefox und Chrome lässt sich Java ziemlich einfach deaktivieren. Ich habe es schon vor Monaten getan.
Das geht leider nicht in Microsoft Internet Explorer 9, obwohl dessen Einstellungen es angeblich ermöglichen. Das Häckchen in der Java-Steuerung ist auch unauschaltbar. Ich war schockiert, als die Heise Testseite mitteilte, das Java immer noch aktiv war.
Ich habe letzendlich der ganze Java-Platform (32+64 bit Klienten, SDK, usw.) einfach entfernt, und werde bis auf weiteres auf einige Anwendungen verzichten.
Schade.
Informatiker
Gast
Java lutscht.
Multics
Gast
@gustav:
Java ist nur eine Programmiersprache von vielen und keineswegs der Stein der Weisen. Vieles
ist einfach Geschmackssache. Auch Aussagen
wie " aussagefähige APIs auch eher selbsterklärend"
=> reine Geschmackssache. Ich finde zB Qt (für C++)
viel besser designed.
Multics.
Jojo
Gast
Das Problem betrifft natürlich die Java Laufzeitumgebung (JRE, Java Runtime Environment) und nicht irgend eine Programmierumgebung...
gustav
Gast
Der Autor Ben Schwan drückt aus, dass
Java nur eine minderwertige Programmiersprache
sei.
Dem muss ich entschieden widersprechen.
Java ist eine hervorragende, extrem mächtige
Programmiersprache.
Die Programmiersprache selber ist super und
verglichen mit anderen C, C++, Python, Pearl,
Visual Basic gut leserlich, für
low Level und High-Level Aufgaben adaptierbar,
skalierbar, portabel, verständlich,
durch aussagefähige APIs auch eher selbsterklärend
und deren Projekte noch einigermaßen überschaubar.
Das Konzept ist unbedingt weiter fortsetzungswürdig
und alles andere als ein alter Hut!
Lediglich die Überwachung der mitgelieferten
Infrastruktur auf gefährliche und unautorisierte
Fremdeingriffe muss verbessert werden.
Mein Fazit: Java ist super, nur die mitgelieferte
Infrastruktur bedarf einer totalen ständigen
nutzerabhängigen und administrationskonformen
Überwachung. Das Programmierkonzept, sofern
die Sprachdialekte wieder abschafft und
ein systemkonformes einfaches Java durchsetzt,
ist exzellent.
Meinungen, wie die Ben Schwan rühren von einen
bedauerlichen Programmierchauvinismus her, der
viele andere Menschen durch überkomplexe, syntaktisch
und schreibästhetisch eklige
Programmiersprachen vom Programmieren abhalten soll
und kleine Ersatzdaddelprogrammiersprachen
(Ruby, Pearl, auch Python) mit Freakpotential hochstilisieren, wenn gleich auch damit
schon hochkomplexe Projekte realisiert wurden.
Java ist für viele beherrschbar und damit auch gut!
Die Freiheit des mündigen programmierfähigen
Computernutzers ist ein positives urdemokratisches Ideal und nicht die des unfähigen Nurkonsumenten!
Verbauen Sie den Menschen nicht dem Zugang
zum Können!
S. E.
Gast
"Dass es auch ohne Java geht, zeigt indes Apple: Dessen jüngstes Betriebssystem Mountain Lion kommt standardmäßig ganz ohne die Software"
Microsoft "zeigt" das schon seit Jahren. Wann immer ich Java gebraucht habe, z.B. für meine Einkommenssteuererklärung, habe ich es selbst nachinstalliert. Nur bei Apple war Java vorinstalliert. Und somit wohl auch bei dem Autor dieses Artikels.
Mirko Malessa
Gast
"(...) in der weit verbreiteten Programmierumgebung Java aufgetaucht – das aber kaum verwendet wird."
Kopf. Tisch.