Java ist trotz aktuellem Patch noch nicht sicher

BrowserSicherheitWorkspace
Java Logo

Sicherheitsforschern zufolge enthält Java immer noch ungepatchte Lücken. Oracle werde zwei Jahre brauchen, um alle Fehler zu beseitigen. Offizielle Stellen raten daher weiter von der Nutzung von Java im Browser ab.

Sicherheitsforscher stufen Java auch nach der Bereitstellung eines dringenden Patches durch Oracle, der eine Zero-Day-Lücke in Version 7 der Laufzeitumgebung schließt, als unsicher ein. Adam Gowdiak, CEO des polnischen Sicherheitsanbieters Security Explorations, sagte der Agentur Reuters, dass Java weiterhin mehrere kritische Anfälligkeiten enthält, für die es noch kein Update gibt. Er rät Nutzern davon ab, Java wieder zu aktivieren.

Dieser Ansicht ist auch Jaime Blasco, Sicherheitsexperte bei AlienVault Labs. Er hatte Java bereits Ende vergangener Woche scharf kritisiert. “Java ist ein Durcheinander. Es ist nicht sicher. Sie müssen es abschalten.”

Ähnlich denkt HD Moore, Chief Security Officer bei Rapid7. Er geht nicht davon aus, dass Oracle das Problem kurzfristig lösen kann. Es dauere voraussichtlich zwei Jahre, um alle Schwachstellen in Java zu beseitigen. Es sei besser anzunehmen, dass die Laufzeitumgebung grundsätzlich anfällig sei. Zudem bräuchten die meisten Anwender Java nicht auf ihren Desktop-Rechnern.

Das US-Heimatschutzministerium nimmt die Bedenken der Sicherheitsforscher offenbar sehr ernst. Es wiederholte die nach Bekanntwerden der jetzt geschlossenen Zero-Day-Lücke ausgesprochene Warnung. “Außer es ist unbedingt notwendig, Java im Webbrowser auszuführen, sollten sie es auch nach der Installation des Update 11 deaktivieren.”

Ähnlich äußerte sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI): Es empfahl Nutzern vor einigen Tagen, Java zumindest vorerst zu deaktivieren und gab Hinweise, wie sich die Java-Plug-ins in den gängigen Browsern abschalten lassen.

Oracles jüngstes Update für Java stopft insgesamt zwei Löcher in Java 7. Angreifer könnten Schadcode einschleusen und die vollständige Kontrolle über ein betroffenes System übernehmen. Cyberkriminelle nutzen die Lücke bereits aus. Sophos identifizierte den Trojaner “Mal/JavaJar-B“, der sich gegen Windows, Linux und Unix richtet. Zudem sind Beispiele für den Schadcode in mehreren bekannten Exploit-Kits enthalten, darunter auch “Blackhole”.

[mit Material von Nick Farrell, TechEye.net]