Von Stephan Dörner
- dapd
Ende vergangener Woche wurde eine kritische Sicherheitslücke in Java SE bekannt. Die Plattform für Programme, die in der Programmiersprache Java geschrieben sind, ist weit verbreitet. Laut Berechnungen von Sicherheitsexperten sind weltweit vermutlich mehr als 850 Millionen PCs in Gefahr.
Bei der Lücke handelte es sich um einen sogenannten Zero-Day-Exploit – eine bislang unbekannte Lücke, die sofort ausgenutzt werden kann, weil gegen sie kein Schutz besteht, außer die betroffene Software zu deinstallieren.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfahl daher genau das – denn es war zunächst keine Sicherheitsaktualisierung vom Java-Entwickler Oracle verfügbar. Laut Berichten wurde die Lücke bereits aktiv ausgenutzt. Die PCs von Nutzern, die eine entsprechend manipulierte Website mit aktiviertem Java-Plugin in ihrem Browser ansteuerten, konnten ohne weiteres Zutun durch Schadsoftware infiziert werden.
Inzwischen hat Oracle eine Sicherheitsaktualisierung zur Verfügung gestellt, die das Problem löst und die Sicherheits-Standardeinstellung von Java von „mittel“ auf „hoch“ anhebt. Dadurch können nun nur noch Java-Programme ausgeführt werden, wenn der Nutzer dem ausdrücklich zustimmt.
Java ist eine Programmiersprache, die darauf ausgelegt ist, Software unter verschiedensten Betriebssystem und Hardware-Architekturen auszuführen – sei es Windows, Mac OS X, Linux oder Smartphones mit Android. Dementsprechend traf die Lücke sowohl Windows- als auch Mac-Nutzer. Sowohl Apple als auch die Firefox-Macher Mozilla reagierten und blockierten Java-Software.
Java sollte nicht mit der ähnlich klingenden Webprogrammiersprache Javascript verwechselt werden, die heute in jedem Webbrowser eingebaut ist und ohne die viele Websites heute nicht mehr funktionieren.
Weite Verbreitung von Java wird zum Fluch
Java gehört neben dem Flash-Plugin von Adobe zur Darstellung von Multimedia-Inhalten und dem Programm Adobe Reader zum Anzeige von PDF-Dateien zu den am häufigsten installierten Zusatz-Programmen auf Windows-PCs und Macs. Entsprechend beliebt sind die Programme auch zum Einschleusen von Schadsoftware. Viele Sicherheitsexperten raten daher grundsätzlich zum Entfernen von Java auf dem PC.
Sicherheitsexperte: Java-Plugin deaktivieren
Java-Sicherheitsexperte Adam Gowdiak ist nicht sicher, ob die Maßnahme von Oracle wirklich ausreicht. „Wir trauen uns nicht den Nutzern zu sagen, dass es nun sicher ist, Java wieder zu aktivieren“, sagte er der Nachrichtenagentur Reuters. H.D. Moore, Sicherheitschef bei der IT-Sicherheitsfirma Rapid7 äußerte sich sogar noch pessimistischer: „Die Nutzer sollten das Plugin einfach deaktivieren“, sagte er Forbes. „Die Nützlichkeit des Plugins ist so viel kleiner als das Risiko, das es für den Nutzer bedeutet. Es ist deutlich sicherer, es einfach auszuschalten.“
Eine Alternative besteht darin, das Java-Plugin in Webbrowsern wie Firefox, Chrome oder Internet Explorer generell zu sperren und nur bei Bedarf zu aktivieren. Im Firefox geht das über den Add-on-Manager, bei Chrome findet sich nach dem Ausklappen der „Erweiterten Einstellungen“ der Menüpunkt „Inhaltseinstellungen“ und dort bei „Plug-ins“ die Option „Lick-to-Play“. Ist sie aktiviert, werden sämtliche Plugins wie Flash und Java erst nach einem Klick auf eine beliebige Stelle der Website ausgeführt. Zuvor wird ein grauer Kasten angezeigt, der einen zum Klicken auffordert. Ist die Option aktiviert, muss der Nutzer beispielsweise vor jedem Anzeigen eines Youtube-Videos erst klicken.
