5075343

Lecks in Programmierumgebung: Java besser abschalten

Erneut sind schwere Sicherheitslücken in der weit verbreiteten Programmierumgebung Java aufgetaucht – das aber kaum verwendet wird. Zeit, sie zu entfernen.

Macht Durst auf Kaffee: Java-Logo. Bild: Oracle

BERLIN taz | Es ist ein wenig wie bei einer seit Jahren unabgeschlossenen Kellertür, von deren Existenz man nichts weiß: Auf den meisten PCs befindet sich eine Kopie der Programmierumgebung //en.wikipedia.org/wiki/Java_%28software_platform%29:Java, auch wenn relativ wenige Nutzer sie überhaupt noch aktiv nutzen.

Das Problem: Über die Jahre hat es immer wieder schwerwiegende Sicherheitslücken in Java gegeben und Nutzer neigen dazu, die Software selten oder gar nicht zu aktualisieren. Da Java auch über ein Plug-in im Browser aufrufbar ist, lassen sich Löcher in der Programmierumgebung vergleichsweise leicht ausnutzen.

Jüngstes Beispiel ist eine kritische Lücke in Java-Version 7, die von Online-Ganoven bereits aktiv verwendet wurde, um Datenschädlinge zu installieren. Zwar hat Hersteller Oracle mittlerweile ein Update online gestellt. Doch Experten wie der polnische Sicherheitsforscher Adam Gowdiak, der 2012 zahlreiche Java-Probleme aufgedeckt hatte, glauben nicht, dass das ausreicht. Die grundsätzlichen Lücken in der Software seien nach wie vor nicht behoben. „Wir trauen uns nicht, den Usern mitzuteilen, dass es sicher ist, Java wieder zu aktivieren“, so Gowdiak.

Sein Kollege HD Moore stieß ins gleiche Horn: Um alle Fehler zu beheben, die aktuell in Java steckten, mit dem sich viele Nutzer im Internet bewegen, werde es für Oracle bis zu zwei Jahre dauern – und das nur unter der Voraussetzung, dass es keine weiteren großen „Exploits“ gebe.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Java. Die von Oracle mittlerweile behobene Schwachstelle sei bereits in weit verbreiteten Exploit-Kits vorhanden „und kann somit massiv und relativ einfach ausgenutzt werden“. Noch in der vergangenen Woche //www.bsi.bund.de/ContentBSIFB/WissenswertesHilfreiches/Service/Aktuell/Meldungen/Sicherheitsluecke-in-Java-Version_29082012.html:empfahl das BSI deshalb, Java in den gängigen Browsern zu deaktivieren. Nach erscheinen der Oracle-Aktualisierung, die die Versionsnummer Java 7 Update 11 trägt, war das BSI allerdings bereit, //www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2013/Entwarnung_Update_Schw_Java_7_10_14012013.html:Entwarnung zu geben: Mit dem Update könne man die Browser-Plug-ins nun wieder aktivieren und nutzen.

Im Auftrag der Regierung

Ein Problem an Java ist die Tatsache, dass die Programmierumgebung noch immer bei einigen wichtigen Anwendungen verwendet wird – problematischerweise auch solchen, die die Bundesregierung in Auftrag gegeben hat. Dazu gehört etwa ein Werkzeug für den neuen Personalausweis, mit dem die sogenannte eID-Funktion verwendet werden kann. Dass es auch ohne Java geht, zeigt indes Apple: Dessen jüngstes Betriebssystem Mountain Lion kommt standardmäßig ganz ohne die Software. Wer sie wirklich will, muss sie nachinstallieren.

Neben Java gilt auch die Multimedia-Umgebung Flash als großes Einfallstor für Online-Angreifer. Diese wird im Gegensatz zu Java im Netz noch vielfach verwendet, beispielsweise zur Darstellung von Videos oder Browserspielen. Das Problem: Viele Nutzer halten Flash nicht aktuell, so dass bereits bekannte Sicherheitslücken auf ihrem Rechner bestehen bleiben. Ähnlich wie bei Java sind bei Flash sogenannte „Drive-by-Exploits“ möglich: Dabei reicht es aus, eine infizierte Web-Seite im Browser nur aufzurufen, um sich einen Datenschädling einzufangen. Flash sollte daher über die eingebaute Update-Funktion automatisch aktualisiert werden.

Alternativ lässt sich auch ein Browser wie Google Chrome einsetzen, der Flash selbst und unabhängig vom restlichen Betriebssystem aktuell hält. Sowohl Java als auch Flash lassen sich zudem im Browser so einstellen, dass sie nicht automatisch, sondern nur per Klick des Nutzers ausgeführt werden können. Dieses Feature steckt als „Click to Play“ beispielsweise in Firefox, aber auch in Chrome. Die Firefox-Macher haben diese Funktion für die von Sicherheitslücken betroffene Java-Version mittlerweile automatisch aktiviert.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • Copieur

    Gast

    Das "Schönste" ist ja, dass Unternehmer _verpflichtet_ sind, ihre Steuererklärung online (per "Elster") abzugeben. Elster verlangt - Java. Und zwar in einer hoffnungslos veralteten Version.

    Also, da haben wir eine neue Version des Bundestrojaners Schäubles...

    SCNR

  • Scripte abschalten

    Gast

    in Firefox: das Add-On "Noscript" installieren, Scripte werden geblockt, wenn man sie nicht ausdrücklich, je nach Webseite, erlaubt.

    Javascript ist zwar nicht Java, aber wie Flash ein Einfallstor.

    Weitere notorische Lücke: ActiveX (Windows).

    Abhilfe:

    XP-Antispy (gratis) installieren, schließt noch weitere Lücken. Im Administrator-Account auf "Update" einstellen, im Benutzer-Account auf "empfohlen", Updates als Administrator 1x per Woche manuell machen, sonst nur Benutzer-Account verwenden.

    Chrome ist von Google- no comment.

    (Viren)-Scanner für das System können nur vernünftig funktionieren, wenn das System, welches überprüft wird, abgeschaltet ist und es von außen geprüft wird- also Start mit anderem System von zweiter Festplatte oder USB-Stick.

    http://www.softonic.de/s/virenscanner-usb

    Für solche Wartungsarbeiten gibt es auch gratis verschiedene einfach zu bedienende, voreingestellte Linux- Versionen.

    Zu Oracle: doofe Firma, hat sich OpenOffice unter den Nagel gerissen, jetzt deswegen bessere Alternative:

    http://www.libreoffice.org

    Spezielle Anwendungen:

    Alternativen zu Virtualbox (Oracle): bochs oder qemu

  • logo

    Gast

    Das Problem ist einzig und alleine das Browser-Plug-In von Java, welches in Firefox etc. deaktiviert werden sollte.

    Es gibt viele wichtige Programme, die ohne Java nicht auskommen, wie z.B. OpenOffice und auch viele Systemprogramme.

    Java sollte deshalb auf jedem modernen Betriebssystem installiert sein. Bei Apple geht das zum Glück relativ einfach, bei Linux ebenfalls.

  • Hallo

    Gast

    Nichts ist sicher auser der Tod ! Mal wieder Ordentlich für Google Chrome Werbung gemacht. Prima. Gerade Google Chrome ist sehr Datenschutz Freundlich? Windows ist generel sehr anfällig.

  • Steuererklärer

    Gast

    Das "Schönste" ist ja, dass Unternehmer _verpflichtet_ sind, ihre Steuererklärung online (per "Elster") abzugeben. Elster verlangt - Java. Und zwar in einer hoffnungslos veralteten Version.

    Wer also die Sicherheitslücken stopft, bekommt Ärger mit dem Finanzamt.

    Könnte mal bitte ein betroffener Unternehmer eine einstweilige Anordnung gegen die Verpflichtung zur Online-Steuererklärung erwirken, die so lange gilt, bis die Vögel eine brauchbare Software entwickelt haben?!

  • Martin W.

    Gast

    "Dass es auch ohne Java geht, zeigt indes Apple: Dessen jüngstes Betriebssystem Mountain Lion kommt standardmäßig ganz ohne die Software. Wer sie wirklich will, muss sie nachinstallieren"

    So wie bei allen gängigen Betriebssystemen.

    Der Artikel zeigt ein hohes Maß an Unwissen, was schade ist. Jeder Programmierer weiß, dass PHP und JavaScript, also die gängigen Scriptsprachen zur Webentwicklung durch ihre Typunsicherheit schrecklich sind. Java hingegen stellt eine vollständige Programmiersprache dar, welche hervorragend logisch umgesetzt ist.

    Dass Java im Web immer weniger auftaucht, liegt nicht an Sicherheitslücken, sondern an 3 Sekunden Wartezeit für den Start der Java-Engine, den die Benutzer nicht hinnehmen.

    Fazit: taz politisch gut, technisch schlecht. Sie sollten darüber andere berichten lassen

  • Pit

    Gast

    Autsch.

    Zur Erklärung für den Autor und Neugierige:

    Java = Technische Spezifikation bestehend aus

    (1) der gleichnamigen objektorientierte Programmiersprache

    (2) der auf einer Virtuellen Maschine (VM) basierenden Laufzeitumgebung JRE (Java Runtime Environment) zum Ausführen von in dieser Sprache geschriebenen Programmen

    (das eigentliche bei den meisten "installierte Java" - hier treten die kritisierten Fehler auf, nicht in der...)

    (3) der 'Programmierumgebung' JDK (Java Development Kit) zur Erstellen von lauffähigen Java-Programmen (wird hauptsächlich von Programmierern/Softwareentwicklern benutzt)

    Das BSI schreibt darum auch in den (fehlerhaft verlinkten*) Dokumenten konsequent von der "Java Laufzeitumgebung", nicht von der 'Programmierumgebung' (besser: Entwicklungsumgebung).

    * Richtige HTTPS-Links:

    https://www.bsi.bund.de/ContentBSIFB/WissenswertesHilfreiches/Service/Aktuell/Meldungen/Sicherheitsluecke-in-Java-Version_29082012.html

    https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2013/Entwarnung_Update_Schw_Java_7_10_14012013.html

  • Copieur

    Gast

    empfahl das BSI deshalb, Java in den gängigen Browsern zu deaktivieren.

    Ich muss feststellen, es ist leichter zu sagen als zu tun.

    In Firefox und Chrome lässt sich Java ziemlich einfach deaktivieren. Ich habe es schon vor Monaten getan.

    Das geht leider nicht in Microsoft Internet Explorer 9, obwohl dessen Einstellungen es angeblich ermöglichen. Das Häckchen in der Java-Steuerung ist auch unauschaltbar. Ich war schockiert, als die Heise Testseite mitteilte, das Java immer noch aktiv war.

    Ich habe letzendlich der ganze Java-Platform (32+64 bit Klienten, SDK, usw.) einfach entfernt, und werde bis auf weiteres auf einige Anwendungen verzichten.

    Schade.

  • Informatiker

    Gast

    Java lutscht.

  • Multics

    Gast

    @gustav:

    Java ist nur eine Programmiersprache von vielen und keineswegs der Stein der Weisen. Vieles

    ist einfach Geschmackssache. Auch Aussagen

    wie " aussagefähige APIs auch eher selbsterklärend"

    => reine Geschmackssache. Ich finde zB Qt (für C++)

    viel besser designed.

    Multics.

  • Jojo

    Gast

    Das Problem betrifft natürlich die Java Laufzeitumgebung (JRE, Java Runtime Environment) und nicht irgend eine Programmierumgebung...

  • gustav

    Gast

    Der Autor Ben Schwan drückt aus, dass

    Java nur eine minderwertige Programmiersprache

    sei.

    Dem muss ich entschieden widersprechen.

    Java ist eine hervorragende, extrem mächtige

    Programmiersprache.

    Die Programmiersprache selber ist super und

    verglichen mit anderen C, C++, Python, Pearl,

    Visual Basic gut leserlich, für

    low Level und High-Level Aufgaben adaptierbar,

    skalierbar, portabel, verständlich,

    durch aussagefähige APIs auch eher selbsterklärend

    und deren Projekte noch einigermaßen überschaubar.

    Das Konzept ist unbedingt weiter fortsetzungswürdig

    und alles andere als ein alter Hut!

    Lediglich die Überwachung der mitgelieferten

    Infrastruktur auf gefährliche und unautorisierte

    Fremdeingriffe muss verbessert werden.

    Mein Fazit: Java ist super, nur die mitgelieferte

    Infrastruktur bedarf einer totalen ständigen

    nutzerabhängigen und administrationskonformen

    Überwachung. Das Programmierkonzept, sofern

    die Sprachdialekte wieder abschafft und

    ein systemkonformes einfaches Java durchsetzt,

    ist exzellent.

    Meinungen, wie die Ben Schwan rühren von einen

    bedauerlichen Programmierchauvinismus her, der

    viele andere Menschen durch überkomplexe, syntaktisch

    und schreibästhetisch eklige

    Programmiersprachen vom Programmieren abhalten soll

    und kleine Ersatzdaddelprogrammiersprachen

    (Ruby, Pearl, auch Python) mit Freakpotential hochstilisieren, wenn gleich auch damit

    schon hochkomplexe Projekte realisiert wurden.

    Java ist für viele beherrschbar und damit auch gut!

    Die Freiheit des mündigen programmierfähigen

    Computernutzers ist ein positives urdemokratisches Ideal und nicht die des unfähigen Nurkonsumenten!

    Verbauen Sie den Menschen nicht dem Zugang

    zum Können!

  • S. E.

    Gast

    "Dass es auch ohne Java geht, zeigt indes Apple: Dessen jüngstes Betriebssystem Mountain Lion kommt standardmäßig ganz ohne die Software"

    Microsoft "zeigt" das schon seit Jahren. Wann immer ich Java gebraucht habe, z.B. für meine Einkommenssteuererklärung, habe ich es selbst nachinstalliert. Nur bei Apple war Java vorinstalliert. Und somit wohl auch bei dem Autor dieses Artikels.

  • Mirko Malessa

    Gast

    "(...) in der weit verbreiteten Programmierumgebung Java aufgetaucht – das aber kaum verwendet wird."

    Kopf. Tisch.