Lecks in Programmierumgebung

Java besser abschalten

Erneut sind schwere Sicherheitslücken in der weit verbreiteten Programmierumgebung Java aufgetaucht – das aber kaum verwendet wird. Zeit, sie zu entfernen.

Macht Durst auf Kaffee: Java-Logo. Bild: Oracle

BERLIN taz | Es ist ein wenig wie bei einer seit Jahren unabgeschlossenen Kellertür, von deren Existenz man nichts weiß: Auf den meisten PCs befindet sich eine Kopie der Programmierumgebung //en.wikipedia.org/wiki/Java_%28software_platform%29:Java, auch wenn relativ wenige Nutzer sie überhaupt noch aktiv nutzen.

Das Problem: Über die Jahre hat es immer wieder schwerwiegende Sicherheitslücken in Java gegeben und Nutzer neigen dazu, die Software selten oder gar nicht zu aktualisieren. Da Java auch über ein Plug-in im Browser aufrufbar ist, lassen sich Löcher in der Programmierumgebung vergleichsweise leicht ausnutzen.

Jüngstes Beispiel ist eine kritische Lücke in Java-Version 7, die von Online-Ganoven bereits aktiv verwendet wurde, um Datenschädlinge zu installieren. Zwar hat Hersteller Oracle mittlerweile ein Update online gestellt. Doch Experten wie der polnische Sicherheitsforscher Adam Gowdiak, der 2012 zahlreiche Java-Probleme aufgedeckt hatte, glauben nicht, dass das ausreicht. Die grundsätzlichen Lücken in der Software seien nach wie vor nicht behoben. „Wir trauen uns nicht, den Usern mitzuteilen, dass es sicher ist, Java wieder zu aktivieren“, so Gowdiak.

Sein Kollege HD Moore stieß ins gleiche Horn: Um alle Fehler zu beheben, die aktuell in Java steckten, mit dem sich viele Nutzer im Internet bewegen, werde es für Oracle bis zu zwei Jahre dauern – und das nur unter der Voraussetzung, dass es keine weiteren großen „Exploits“ gebe.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Java. Die von Oracle mittlerweile behobene Schwachstelle sei bereits in weit verbreiteten Exploit-Kits vorhanden „und kann somit massiv und relativ einfach ausgenutzt werden“. Noch in der vergangenen Woche //www.bsi.bund.de/ContentBSIFB/WissenswertesHilfreiches/Service/Aktuell/Meldungen/Sicherheitsluecke-in-Java-Version_29082012.html:empfahl das BSI deshalb, Java in den gängigen Browsern zu deaktivieren. Nach erscheinen der Oracle-Aktualisierung, die die Versionsnummer Java 7 Update 11 trägt, war das BSI allerdings bereit, //www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2013/Entwarnung_Update_Schw_Java_7_10_14012013.html:Entwarnung zu geben: Mit dem Update könne man die Browser-Plug-ins nun wieder aktivieren und nutzen.

Im Auftrag der Regierung

Ein Problem an Java ist die Tatsache, dass die Programmierumgebung noch immer bei einigen wichtigen Anwendungen verwendet wird – problematischerweise auch solchen, die die Bundesregierung in Auftrag gegeben hat. Dazu gehört etwa ein Werkzeug für den neuen Personalausweis, mit dem die sogenannte eID-Funktion verwendet werden kann. Dass es auch ohne Java geht, zeigt indes Apple: Dessen jüngstes Betriebssystem Mountain Lion kommt standardmäßig ganz ohne die Software. Wer sie wirklich will, muss sie nachinstallieren.

Neben Java gilt auch die Multimedia-Umgebung Flash als großes Einfallstor für Online-Angreifer. Diese wird im Gegensatz zu Java im Netz noch vielfach verwendet, beispielsweise zur Darstellung von Videos oder Browserspielen. Das Problem: Viele Nutzer halten Flash nicht aktuell, so dass bereits bekannte Sicherheitslücken auf ihrem Rechner bestehen bleiben. Ähnlich wie bei Java sind bei Flash sogenannte „Drive-by-Exploits“ möglich: Dabei reicht es aus, eine infizierte Web-Seite im Browser nur aufzurufen, um sich einen Datenschädling einzufangen. Flash sollte daher über die eingebaute Update-Funktion automatisch aktualisiert werden.

Alternativ lässt sich auch ein Browser wie Google Chrome einsetzen, der Flash selbst und unabhängig vom restlichen Betriebssystem aktuell hält. Sowohl Java als auch Flash lassen sich zudem im Browser so einstellen, dass sie nicht automatisch, sondern nur per Klick des Nutzers ausgeführt werden können. Dieses Feature steckt als „Click to Play“ beispielsweise in Firefox, aber auch in Chrome. Die Firefox-Macher haben diese Funktion für die von Sicherheitslücken betroffene Java-Version mittlerweile automatisch aktiviert.

.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de

Ihren Kommentar hier eingeben