SicherheitslückeJava-Software ist Magnet für Hacker

Java läuft auf schätzungsweise drei Milliarden Computern. Das macht die Software zum perfekten Ziel für Angreifer. Wie ein aktuelles Leck gerade wieder zeigte. von 

Oracle-Chef Larry Ellison hat immer öfter bei Java JRE nachzubessern. Hier spricht er auf der Oracle Open World Conference.

Oracle-Chef Larry Ellison hat immer öfter bei Java JRE nachzubessern. Hier spricht er auf der Oracle Open World Conference.  |  © Justin Sullivan/Getty Images

Die Software Java JRE, die in nahezu jedem Browser installiert ist, hatte bis Sonntag ein Problem: Aufgrund eines sogenannten Zero Day Exploits konnten Unbefugte theoretisch auf Millionen Rechner zugreifen.

Das Leck, das Oracle gerade geschlossen hat, glich im aktuellen Fall mehr einem Scheunentor. Denn Zero Day Exploits heißen so, weil sie bislang unveröffentlicht sind und im Zweifel nicht einmal den Entwicklern der Software bekannt. Angreifer können bis zu einem Update also in Ruhe andere Systeme attackieren.

Anzeige

Die aktuelle Sicherheitslücke in Oracles Plattform Java JRE 7 ist vorerst geschlossen. Am Sonntag veröffentlichte der kalifornische Software-Konzern das Update, das das Leck beseitigt. Millionen Nutzer waren davor tagelang gefährdet, denn allein die aktuelle Version Java JRE 7 ist nach Angaben von Oracle weltweit auf etwa 850 Millionen Rechnern installiert.

Softwareanalysten der Firma Alienvault gelang kurz nach Veröffentlichung der Lücke der Zugriff auf einen Windows-Rechner. Aber auch Computer mit dem Betriebssystem MacOS waren betroffen.

Analysten warnen grundsätzlich vor Java

Java JRE ist eine sogenannte Umgebung. Sie dient dazu, Programme zu öffnen, die mit der Programmiersprache Java geschrieben sind. Programme in Java, wie etwa Minecraft, laufen auf jedem Betriebssystem. Deshalb ist Java JRE sehr verbreitet. Daneben benutzen auch viele Anwendungen im Internet Java als Programmiersprache, weshalb Java in Browsern wie Firefox, Internet Explorer und Opera installiert ist.

Das aktuelle Problem ist nun zwar beseitigt, trotzdem stehen Programmierer wie Adam Gowdiak und selbst der US-Heimatschutz Java JRE 7 weiter skeptisch gegenüber. Und das Bundesamt für Sicherheit in der Informationstechnik hat nach Veröffentlichung des Updates zwar seine Warnung aufgehoben. Dennoch steht auf den Seiten des Bundesamtes exemplarisch, wie Nutzer das Plug-in für ihren Browser deaktivieren und Java so außer Funktion setzen können.

Die Skepsis vieler Experten hat ihren Grund. Es war nicht das erste Mal, dass Oracle Probleme mit Java JRE meldete. Erst im August 2012 war ein solches Zero Day Exploit entdeckt worden.

Leserkommentare
  1. Hi coverdale,

    hier wie gewünscht ein Bericht über eine seriöse infizierte Seite (diesmal ist Flash das Einfallstor in den PC):

    http://www.heise.de/secur...

    Üblicherweise finden sich solche Meldungen nicht in der Tageszeitung, und dann hat Google es etwas schwerer ;-)

    Im Übrigen würde ich mich von den "Hackerjägern" (wer auch immer sich so nennt ist wohl nicht seriös) nicht einlullen lassen. In der Kriminalität und im Graubereich der Sicherheits- und Geheimdienste werden 0day-Exploits gezielt gesucht, ausgeforscht und gehandelt; auf diese Weise soll in der Zukunft auch der Bundestrojaner seinen Weg auf ihren oder meinen PC finden. Wenn sie jetzt den Begriff 0day-Exploit googeln, dann bitte besser JavaScript und die Komfortplugins für die Einbettung von Videos, PDF etc. abschalten ;-)

    Antwort auf "Prüfung: negativ"
    Reaktionen auf diesen Kommentar anzeigen

    Danke für den konkreten Link. Wie man lesen kann, wurde der Hack für eine best. Zielgruppe eingeschleust auf der Seite. Dürfte ziemich aufwändig gewesen sein.
    Aber man sieht, das Problem ist eher der Browser, nicht Java oder Flash.

    Dass heute noch jemand den Internet Explorer nutzt, ist Dummheit genug. Aber der Werbung für den IE10 im TV erliegen wohl wieder viele. Weil der Song dazu rockt ;-)

    Firefox ist für mich optimal, sowohl von der Sicherheit als auch Anpassbarkeit mit AddIns. Zu Hause browse ich fast nur auf dem iPad, wie auch jetzt, sicherer gehts praktisch nicht (kein Java, kein Flash)

    Der Ausdruck Hackerjäger ist von mir, Virenjäger trifft es weniger, nicht jede Attacke ist ein Virus, aber das sind technische Feinheiten.

    Wenn es wirklich eine massive Welle gibt, dann sollten die Medien Alarm schlagen.
    Aber wenn ich schon FEUER rufe, weil sich jemand an einem Streichholz verbrannt hat, der wird bei einem richtigen Brand kein Gehör finden. Und DAS halte ich für unverantwortlich.

  2. Sehr geehrte Redakteure der Zeit,

    wenn sie schon solche Artikel schreiben, möchte ich sie bitten
    neutral zu bleiben und vorher zu überdenken, ob Sie mit Ihrem gefährlichen Halbwissen über Java nicht vielleicht ein bisschen zurückhaltender gegen Java argumentieren sollten. Ich weiß auch ehrlich gesagt nicht, was Sie mit diesem bashing gegen Java erreichen wollen.

    Wenn das Risikomanagement und die Qualitätssicherung bei Oracle genauso funktionieren würden, wie in diesem Fall bei Ihrer Redaktion oder im Software-Engineering erst etwas veröffentlicht würde, bevor man eine ordentliche Analyse (Recherche) und ein Konzept dazu erstellt hat, dann sollten wir uns tatsächlich Gedanken machen. Vielmehr sollte man hervorheben, dass Oracle sofort reagiert und einen entsprechenden Patch veröffentlicht hat.
    Keine Software ist davor gefeit Fehler zu haben.

  3. Ich sehe in Deinem Kommentar keine sinnvolle und zusammenhängende Aussage. Du wirfst hier Sachen zusammen, die
    rein gar nichts mit einander zu tun haben. Ich hoffe es geht nicht nur mir so.

  4. 20. Merci!

    Danke für den konkreten Link. Wie man lesen kann, wurde der Hack für eine best. Zielgruppe eingeschleust auf der Seite. Dürfte ziemich aufwändig gewesen sein.
    Aber man sieht, das Problem ist eher der Browser, nicht Java oder Flash.

    Dass heute noch jemand den Internet Explorer nutzt, ist Dummheit genug. Aber der Werbung für den IE10 im TV erliegen wohl wieder viele. Weil der Song dazu rockt ;-)

    Firefox ist für mich optimal, sowohl von der Sicherheit als auch Anpassbarkeit mit AddIns. Zu Hause browse ich fast nur auf dem iPad, wie auch jetzt, sicherer gehts praktisch nicht (kein Java, kein Flash)

    Der Ausdruck Hackerjäger ist von mir, Virenjäger trifft es weniger, nicht jede Attacke ist ein Virus, aber das sind technische Feinheiten.

    Wenn es wirklich eine massive Welle gibt, dann sollten die Medien Alarm schlagen.
    Aber wenn ich schon FEUER rufe, weil sich jemand an einem Streichholz verbrannt hat, der wird bei einem richtigen Brand kein Gehör finden. Und DAS halte ich für unverantwortlich.

    Antwort auf "So oder so"
  5. Habe jetzt beim Internet Exporer Java abgestellt und der läuft jetzt viel besser.

    Selbst bei den Piraten.se komme ich wieder rein. Hatte schon meinen Provider in Verdacht.

  6. ist Panik angebracht, weil mein Computer durch ein Java-Update schon einmal infiziert wurde... da sieht man das vielleicht eher anders. Und da ich mich mit Computern an sich nicht wirklich auskenne, bin ich froh, wenn da mal ein bisschen Panik gemacht und Hilfestellung gegeben wird.

    Antwort auf "PAAAAAAAAAAAANIK!!!!!!"

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Android | Apple | Hacker | Browser | Firefox | Java
Service