Oracle-Chef Larry Ellison hat immer öfter bei Java JRE nachzubessern. Hier spricht er auf der Oracle Open World Conference. © Justin Sullivan/Getty Images

Die Software Java JRE, die in nahezu jedem Browser installiert ist, hatte bis Sonntag ein Problem: Aufgrund eines sogenannten Zero Day Exploits konnten Unbefugte theoretisch auf Millionen Rechner zugreifen.

Das Leck, das Oracle gerade geschlossen hat, glich im aktuellen Fall mehr einem Scheunentor. Denn Zero Day Exploits heißen so, weil sie bislang unveröffentlicht sind und im Zweifel nicht einmal den Entwicklern der Software bekannt. Angreifer können bis zu einem Update also in Ruhe andere Systeme attackieren.

Die aktuelle Sicherheitslücke in Oracles Plattform Java JRE 7 ist vorerst geschlossen. Am Sonntag veröffentlichte der kalifornische Software-Konzern das Update, das das Leck beseitigt. Millionen Nutzer waren davor tagelang gefährdet, denn allein die aktuelle Version Java JRE 7 ist nach Angaben von Oracle weltweit auf etwa 850 Millionen Rechnern installiert.

Softwareanalysten der Firma Alienvault gelang kurz nach Veröffentlichung der Lücke der Zugriff auf einen Windows-Rechner. Aber auch Computer mit dem Betriebssystem MacOS waren betroffen.

Analysten warnen grundsätzlich vor Java

Java JRE ist eine sogenannte Umgebung. Sie dient dazu, Programme zu öffnen, die mit der Programmiersprache Java geschrieben sind. Programme in Java, wie etwa Minecraft, laufen auf jedem Betriebssystem. Deshalb ist Java JRE sehr verbreitet. Daneben benutzen auch viele Anwendungen im Internet Java als Programmiersprache, weshalb Java in Browsern wie Firefox, Internet Explorer und Opera installiert ist.

Das aktuelle Problem ist nun zwar beseitigt, trotzdem stehen Programmierer wie Adam Gowdiak und selbst der US-Heimatschutz Java JRE 7 weiter skeptisch gegenüber. Und das Bundesamt für Sicherheit in der Informationstechnik hat nach Veröffentlichung des Updates zwar seine Warnung aufgehoben. Dennoch steht auf den Seiten des Bundesamtes exemplarisch, wie Nutzer das Plug-in für ihren Browser deaktivieren und Java so außer Funktion setzen können.

Die Skepsis vieler Experten hat ihren Grund. Es war nicht das erste Mal, dass Oracle Probleme mit Java JRE meldete. Erst im August 2012 war ein solches Zero Day Exploit entdeckt worden.

 Schnelles Update ist bester Schutz

Wie heise.de berichtete, hat Oracle im aktuellen Fall gleich noch eine weitere Schwachstelle beseitigt – die bereits seit 2012 bekannt war. Das legt zumindest der sogenannte CVE-Name der Sicherheitslücke nahe. CVE steht für Common Vulnerabilities and Exposures und ist ein Standard, der Sicherheitslücken von Software auf seiner Seite benennt und sammelt. Auch Adam Gowdiak kannte die Lücke schon länger. Sein Unternehmen Security Explorations hatte Oracle auf die Schwachstelle hingewiesen. Das Update erschien trotzdem erst jetzt. 

Im jährlichen Report von Kaspersky Labs führt Java seit Jahren die Liste der am häufigsten angegriffenen Software an. 2012 zielte die Hälfte aller Angriffe auf Java JRE. Früher führte der Adobe Reader diese Liste an. Auch er ist plattformunabhängig nutzbar und damit auch heute noch ein beliebtes Ziel.

Diese Unabhängigkeit von einer Plattform macht auch Java JRE für Angreifer attraktiv. Java läuft unter Windows, MacOS, Android und Linux. Außerdem ist es kostenlos. Kriminelle können, wenn sie eine Lücke entdecken, so auf Millionen Rechner zugreifen. Das auf Virenabwehr spezialisierte Unternehmen Kaspersky Labs spricht von etwa drei Milliarden Rechnern, auf denen Java JRE in allen Versionen läuft. Die universelle Anwendung ist damit nicht nur Vorteil, sondern auch Fluch.

Das beste Rezept dagegen ist eine schnelle Lieferung der Updates. Bessert Oracle hier nicht nach, könnten sich immer mehr Entwickler und Nutzer nach Alternativen umsehen. Apple ist inzwischen zu einer pragmatischen Lösung übergegangen. Java ist auf neu ausgelieferten Geräten erst gar nicht installiert.