Kriminelle nutzen Java ausgesprochen häufig für Angriffe

Sicherheit
Java Logo (Grafik: Oracle)

Das meldet die Cisco-Tochter Sourcefire in ihrem jährlichen Sicherheitsbericht. Auf die Oracle-Software entfällt demnach ein Anteil von 91 Prozent. Allerdings werden sonst nur noch Zahlen für Microsoft Office und Adobe Reader ausgewertet.

Kriminelle nutzen am häufigsten Schwachstellen in Java. Das ist eines der Ergebnisse von Ciscos soeben vorgelegtem, jährlichem Sicherheitsbericht. Die Oracle-Software hat demnach die früher beliebtesten Ziele Adobe Acrobat und Microsoft Office abgelöst.

sourcefire-logo

Der Cisco-Tochter Sourcefire zufolge wird Java für 91 Prozent aller Web-Angriffe als Einfallstor genutzt. Allerdings beschränkten sich die Sicherheitsforscher für ihre Studie auf Java, Microsoft Word, Excel und Powerpoint sowie Adobe Reader. Ciscos Threat Research Analysis and Communications/Security Intelligence Operations (TRAC/SIO) beobachtete zwar im April 2013 ein Rekordhoch für Java, was die Ausnutzung von Schwachstellen anbelangt, aber in dieser Auswertung lag der Anteil – unter Einbezug “jeglicher Online-Malware” – bei 14 Prozent betrug.

Das Risiko, das Firmen durch Java eingehen, ist dennoch beträchtlich. Cisco zufolge nutzen 76 Prozent aller Firmen, die von dem Unternehmen Online-Sicherheitsdienste beziehen, noch Java 6, das von Oracle nicht mehr unterstützt wird.

Cisco und die Experten der Tochter Sourcefire stimmen darin überein, dass Hacker ihre Aktivitäten von Adobe-Produkten weg und zu Java hin verlagern. 2011 wurden M86 Security Labs zufolge in erster Linie Schwachstellen in Microsoft Internet Explorer und Office, Adobe Reader und Acrobat angegriffen. Java rangierte damals mit gerade zwei Schwachstellen in den Top 15.

Einen Trend zu mehr Java-Exploits hatte im Dezember auch AV-Test gemeldet. Demnach erfolgten 66 Prozent aller Angriffe auf Windows-Systeme über Schwachstellen in Oracle Java, Adobe Flash und Adobe Reader. Der Untersuchungszeitraum reichte von 2000 bis 2013, weshalb sich aus der Studie kaum praktische Schlussfolgerungen ziehen lassen.

Adobe und Microsoft haben offenbar ihre Patch-Prozesse stark verbessert, um schneller auf Schwachstellen reagieren und die Konsequenzen eventueller Lücken möglichst gering halten zu können. Oracle, das bereits im Januar 2013 für seine träge Patch-Politik heftig kritisiert wurde, hat einen großen Teil dieses Lernprozesses – trotz erster, im Juni angekündigter und ergriffener Maßnahmen – offenbar noch vor sich.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen