Lecks in Programmierumgebung: Java besser abschalten
Erneut sind schwere Sicherheitslücken in der weit verbreiteten Programmierumgebung Java aufgetaucht – das aber kaum verwendet wird. Zeit, sie zu entfernen.
BERLIN taz | Es ist ein wenig wie bei einer seit Jahren unabgeschlossenen Kellertür, von deren Existenz man nichts weiß: Auf den meisten PCs befindet sich eine Kopie der Programmierumgebung //en.wikipedia.org/wiki/Java_%28software_platform%29:Java, auch wenn relativ wenige Nutzer sie überhaupt noch aktiv nutzen.
Das Problem: Über die Jahre hat es immer wieder schwerwiegende Sicherheitslücken in Java gegeben und Nutzer neigen dazu, die Software selten oder gar nicht zu aktualisieren. Da Java auch über ein Plug-in im Browser aufrufbar ist, lassen sich Löcher in der Programmierumgebung vergleichsweise leicht ausnutzen.
Jüngstes Beispiel ist eine kritische Lücke in Java-Version 7, die von Online-Ganoven bereits aktiv verwendet wurde, um Datenschädlinge zu installieren. Zwar hat Hersteller Oracle mittlerweile ein Update online gestellt. Doch Experten wie der polnische Sicherheitsforscher Adam Gowdiak, der 2012 zahlreiche Java-Probleme aufgedeckt hatte, glauben nicht, dass das ausreicht. Die grundsätzlichen Lücken in der Software seien nach wie vor nicht behoben. „Wir trauen uns nicht, den Usern mitzuteilen, dass es sicher ist, Java wieder zu aktivieren“, so Gowdiak.
Sein Kollege HD Moore stieß ins gleiche Horn: Um alle Fehler zu beheben, die aktuell in Java steckten, mit dem sich viele Nutzer im Internet bewegen, werde es für Oracle bis zu zwei Jahre dauern – und das nur unter der Voraussetzung, dass es keine weiteren großen „Exploits“ gebe.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Java. Die von Oracle mittlerweile behobene Schwachstelle sei bereits in weit verbreiteten Exploit-Kits vorhanden „und kann somit massiv und relativ einfach ausgenutzt werden“. Noch in der vergangenen Woche //www.bsi.bund.de/ContentBSIFB/WissenswertesHilfreiches/Service/Aktuell/Meldungen/Sicherheitsluecke-in-Java-Version_29082012.html:empfahl das BSI deshalb, Java in den gängigen Browsern zu deaktivieren. Nach erscheinen der Oracle-Aktualisierung, die die Versionsnummer Java 7 Update 11 trägt, war das BSI allerdings bereit, //www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2013/Entwarnung_Update_Schw_Java_7_10_14012013.html:Entwarnung zu geben: Mit dem Update könne man die Browser-Plug-ins nun wieder aktivieren und nutzen.
Im Auftrag der Regierung
Ein Problem an Java ist die Tatsache, dass die Programmierumgebung noch immer bei einigen wichtigen Anwendungen verwendet wird – problematischerweise auch solchen, die die Bundesregierung in Auftrag gegeben hat. Dazu gehört etwa ein Werkzeug für den neuen Personalausweis, mit dem die sogenannte eID-Funktion verwendet werden kann. Dass es auch ohne Java geht, zeigt indes Apple: Dessen jüngstes Betriebssystem Mountain Lion kommt standardmäßig ganz ohne die Software. Wer sie wirklich will, muss sie nachinstallieren.
Neben Java gilt auch die Multimedia-Umgebung Flash als großes Einfallstor für Online-Angreifer. Diese wird im Gegensatz zu Java im Netz noch vielfach verwendet, beispielsweise zur Darstellung von Videos oder Browserspielen. Das Problem: Viele Nutzer halten Flash nicht aktuell, so dass bereits bekannte Sicherheitslücken auf ihrem Rechner bestehen bleiben. Ähnlich wie bei Java sind bei Flash sogenannte „Drive-by-Exploits“ möglich: Dabei reicht es aus, eine infizierte Web-Seite im Browser nur aufzurufen, um sich einen Datenschädling einzufangen. Flash sollte daher über die eingebaute Update-Funktion automatisch aktualisiert werden.
Alternativ lässt sich auch ein Browser wie Google Chrome einsetzen, der Flash selbst und unabhängig vom restlichen Betriebssystem aktuell hält. Sowohl Java als auch Flash lassen sich zudem im Browser so einstellen, dass sie nicht automatisch, sondern nur per Klick des Nutzers ausgeführt werden können. Dieses Feature steckt als „Click to Play“ beispielsweise in Firefox, aber auch in Chrome. Die Firefox-Macher haben diese Funktion für die von Sicherheitslücken betroffene Java-Version mittlerweile automatisch aktiviert.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Christian Lindner
Die libertären Posterboys
Außenministerin zu Besuch in China
Auf unmöglicher Mission in Peking
Prozess gegen Letzte Generation
Wie die Hoffnung auf Klimaschutz stirbt
Olaf Scholz’ erfolglose Ukrainepolitik
Friedenskanzler? Wäre schön gewesen!
Neuer Generalsekretär
Stures Weiter-so bei der FDP
Rücktrittsforderungen gegen Lindner
Der FDP-Chef wünscht sich Disruption