SicherheitslückeJava-Software ist Magnet für Hacker

Java läuft auf schätzungsweise drei Milliarden Computern. Das macht die Software zum perfekten Ziel für Angreifer. Wie ein aktuelles Leck gerade wieder zeigte. von 

Oracle-Chef Larry Ellison hat immer öfter bei Java JRE nachzubessern. Hier spricht er auf der Oracle Open World Conference.

Oracle-Chef Larry Ellison hat immer öfter bei Java JRE nachzubessern. Hier spricht er auf der Oracle Open World Conference.  |  © Justin Sullivan/Getty Images

Die Software Java JRE, die in nahezu jedem Browser installiert ist, hatte bis Sonntag ein Problem: Aufgrund eines sogenannten Zero Day Exploits konnten Unbefugte theoretisch auf Millionen Rechner zugreifen.

Das Leck, das Oracle gerade geschlossen hat, glich im aktuellen Fall mehr einem Scheunentor. Denn Zero Day Exploits heißen so, weil sie bislang unveröffentlicht sind und im Zweifel nicht einmal den Entwicklern der Software bekannt. Angreifer können bis zu einem Update also in Ruhe andere Systeme attackieren.

Anzeige

Die aktuelle Sicherheitslücke in Oracles Plattform Java JRE 7 ist vorerst geschlossen. Am Sonntag veröffentlichte der kalifornische Software-Konzern das Update, das das Leck beseitigt. Millionen Nutzer waren davor tagelang gefährdet, denn allein die aktuelle Version Java JRE 7 ist nach Angaben von Oracle weltweit auf etwa 850 Millionen Rechnern installiert.

Softwareanalysten der Firma Alienvault gelang kurz nach Veröffentlichung der Lücke der Zugriff auf einen Windows-Rechner. Aber auch Computer mit dem Betriebssystem MacOS waren betroffen.

Analysten warnen grundsätzlich vor Java

Java JRE ist eine sogenannte Umgebung. Sie dient dazu, Programme zu öffnen, die mit der Programmiersprache Java geschrieben sind. Programme in Java, wie etwa Minecraft, laufen auf jedem Betriebssystem. Deshalb ist Java JRE sehr verbreitet. Daneben benutzen auch viele Anwendungen im Internet Java als Programmiersprache, weshalb Java in Browsern wie Firefox, Internet Explorer und Opera installiert ist.

Das aktuelle Problem ist nun zwar beseitigt, trotzdem stehen Programmierer wie Adam Gowdiak und selbst der US-Heimatschutz Java JRE 7 weiter skeptisch gegenüber. Und das Bundesamt für Sicherheit in der Informationstechnik hat nach Veröffentlichung des Updates zwar seine Warnung aufgehoben. Dennoch steht auf den Seiten des Bundesamtes exemplarisch, wie Nutzer das Plug-in für ihren Browser deaktivieren und Java so außer Funktion setzen können.

Die Skepsis vieler Experten hat ihren Grund. Es war nicht das erste Mal, dass Oracle Probleme mit Java JRE meldete. Erst im August 2012 war ein solches Zero Day Exploit entdeckt worden.

Leserkommentare
  1. java ist einfach mal systemrelevant im Opensource geworden--- das kann man nicht einfach mal so abschaffen oder was soll die "Warnung der Analysten" bewirken`?

    Das wird weiter benutz bis der Rechner glüht^^

    Reaktionen auf diesen Kommentar anzeigen

    Wo ist Java für OpenSource systemrelevant?

    Bei meinem Linux-Desktop beispielsweise nutzen nur LibreOffice und pdftk das installierte JRE. Die kann man durchaus ersetzen, wenn man wollte.

    Und was Server angeht, so wird dort normalerweise nur das ausgeführt, was auch installiert wurde. Da einfach Code einzuschleusen - wie im aktuellen Fall über den Browser mit Plug-In für das JRE - ist da schlicht nicht möglich.

  2. 10. Irrtum

    "auf 'seriösen' Seiten wird ein Hacker das kaum draufbringen" Suchen Sie mal ein wenig im Internet nach java infiziert und seriös und schon sehen Sie, dass das Ihre Aussage bei Weitem nicht stimmt.
    Es muss nur eine infizierte Werbung auf einer ansonsten seriösen Seite auftauchen und schon wars das.
    Es reicht nicht, sich nur "anständing" zu benehmen, und schon ist man sicher.

    Eine Leserempfehlung
    Antwort auf "PAAAAAAAAAAAANIK!!!!!!"
    Reaktionen auf diesen Kommentar anzeigen

    ich habe wie von Ihnen vorgeschlagen, nach 'java infiziert seriös' gegoogelt.
    Ergebnis: tausende Seiten, die die Warnung des BSI nachplappern "selbst seriöse Webseiten KÖNNEN davon betroffen sein"
    Mich wundert, dass das BSI nicht davor warnt, dass selbst in großen Fußgängerzonen Bomben gelegt werden KÖNNEN.

    Mir geht es darum, dass man ANGEMESSEN auf Gefahren hinweist. Wie schon geschrieben, scannen Hackerjager Seiten, haben einige gefunden und die Server deaktivieren lassen. Dass eine Werbung infiziert wurde, ist nirgends berichtet. Das sind alles konstruierte Situationen. Mittlerweile sind Hackerjäger so aktiv, dass große Kampagnen schnell entdeckt werden. Einen Exploit zu finden macht prominent.

    Mir tun die normalen Anwender leid, die entweder total verunsichert sind (und dann bei mir anrufen) oder ein schlechtes Gewissen haben, wenn sie es ignorieren.

    Ich werd meine PCs mal updaten, wenn ich Lust und Zeit habe. Panik ist nicht angebracht.

  3. Wo ist Java für OpenSource systemrelevant?

    Bei meinem Linux-Desktop beispielsweise nutzen nur LibreOffice und pdftk das installierte JRE. Die kann man durchaus ersetzen, wenn man wollte.

    Und was Server angeht, so wird dort normalerweise nur das ausgeführt, was auch installiert wurde. Da einfach Code einzuschleusen - wie im aktuellen Fall über den Browser mit Plug-In für das JRE - ist da schlicht nicht möglich.

    Antwort auf "selbst wenn..."
    Reaktionen auf diesen Kommentar anzeigen

    Wenn man sich insbesondere mal mit Multi-Tier-Webapplikationen auseinandersetzt, kommt man schwer an Java vorbei. Bedenken Sie das zb beim nächsten Onlinebanking. Vielleicht besitzen Sie aber auch ein Android-Handy.

  4. Man merkt sofort, daß der Autor keine Ahnung von Java und Entwicklung hat. Zudem wurden Fakten schlecht recherchiert. Stellvertretend werde ich nur einige Punkte aufgreifen, obwohl mich der gesamte Artikel in seiner Art maßlos ärgert.

    "Diese Unabhängigkeit von einer Plattform macht auch Java JRE für Angreifer attraktiv. Java läuft unter Windows, MacOS, Android und Linux."

    Javacode wird in einer sogenannten Virtual Machine ausgeführt, diese ist aber nicht plattformunabhängig. Es gibt zudem auch andere VMs, als nur die von Oracle(vormals von Sun betreut).

    "Im jährlichen Report von Kaspersky Labs führt Java seit Jahren die Liste der am häufigsten angegriffenen Software an."

    Die Behauptung Java liege seit Jahren vorn ist falsch. Im Jahre 2011 gingen 25% der Angriffen gegen die JRE und 35% gegen den Acrobat Reader. Die Jahre davor habe ich dann nicht weiter recherchiert. In der Statistik ist nicht aufgeführt, wo diese Angriffe stattfanden und wer angegriffen wurde. Die Relevanz für Privatnutzer ist daher unklar.

    Es gibt einfache Grundregeln um die meisten Angriffe zu verhindern, warum werden diese nicht im Artikel erwähnt?

    3 Leserempfehlungen
  5. Der beste Schutz gegen Angrifffe aus dem Netz ist die sichere Browser Konfiguration, die ALLE Angriffe auf Plugins (PDF, Flash, Java) verhindert. Die meisten Angriffe erfolgen nicht mit Java-Applets sondern mit bösartigen PDF-Dokumenten:

    http://www.heise.de/security/meldung/Symantec-Angriffe-auf-PDF-Reader-un...

    Vor einer Woche wurde auch ein kritischer Bug im Foxit-PDF-Reader veröffentlicht:

    https://secunia.com/advisories/51733/

    Hat jemand daraus abgeleitet, das PDF-Reader böse sind und komplett deainstalliert werden müssen?

    Eine Anleitung zur sichern Config des Browsers gibts zb hier:

    https://www.awxcnx.de/handbuch_21.htm

    Einen fertig sicher konfigurierten Browser gibs hier:

    https://www.anonym-surfen.de/jondofox.html

  6. ...das dachte ich mir, als ich den Artikel gelesen habe.

    Da wird eine Millionenschwere Zahl in den Raum geworfen und dem Leser suggeriert "Ihr seid alle betroffen".
    Es geht im jüngsten Exploit einzig und allein um Applets. Jeder sollte sich mal fragen, wann er zuletzt eine Seite mit Applet besucht hat. Das technisch auszuwalzen, spar ich mir mal. Da gibt es techniklastigere Webseiten mit dieser Nachricht, die das tun.
    Die Schuld jedoch warum hier die Panikmache betrieben wurde, liegt nicht an Oracle/ Java, sondern - oh Wunder - an Microsoft! Warum?
    Der Internet Explorer schafft es nicht, das Java-Plugin wirksam zu deaktivieren. Darum kursierten die letzten Tage Ratschläge, die JRE gänzlich zu deinstallieren.

  7. Wenn man sich insbesondere mal mit Multi-Tier-Webapplikationen auseinandersetzt, kommt man schwer an Java vorbei. Bedenken Sie das zb beim nächsten Onlinebanking. Vielleicht besitzen Sie aber auch ein Android-Handy.

    Eine Leserempfehlung
    Antwort auf "OpenSource"
  8. ich habe wie von Ihnen vorgeschlagen, nach 'java infiziert seriös' gegoogelt.
    Ergebnis: tausende Seiten, die die Warnung des BSI nachplappern "selbst seriöse Webseiten KÖNNEN davon betroffen sein"
    Mich wundert, dass das BSI nicht davor warnt, dass selbst in großen Fußgängerzonen Bomben gelegt werden KÖNNEN.

    Mir geht es darum, dass man ANGEMESSEN auf Gefahren hinweist. Wie schon geschrieben, scannen Hackerjager Seiten, haben einige gefunden und die Server deaktivieren lassen. Dass eine Werbung infiziert wurde, ist nirgends berichtet. Das sind alles konstruierte Situationen. Mittlerweile sind Hackerjäger so aktiv, dass große Kampagnen schnell entdeckt werden. Einen Exploit zu finden macht prominent.

    Mir tun die normalen Anwender leid, die entweder total verunsichert sind (und dann bei mir anrufen) oder ein schlechtes Gewissen haben, wenn sie es ignorieren.

    Ich werd meine PCs mal updaten, wenn ich Lust und Zeit habe. Panik ist nicht angebracht.

    Antwort auf "Irrtum"
    Reaktionen auf diesen Kommentar anzeigen

    Hi coverdale,

    hier wie gewünscht ein Bericht über eine seriöse infizierte Seite (diesmal ist Flash das Einfallstor in den PC):

    http://www.heise.de/security/meldung/Kritische-Zero-Day-Luecke-im-Intern...

    Üblicherweise finden sich solche Meldungen nicht in der Tageszeitung, und dann hat Google es etwas schwerer ;-)

    Im Übrigen würde ich mich von den "Hackerjägern" (wer auch immer sich so nennt ist wohl nicht seriös) nicht einlullen lassen. In der Kriminalität und im Graubereich der Sicherheits- und Geheimdienste werden 0day-Exploits gezielt gesucht, ausgeforscht und gehandelt; auf diese Weise soll in der Zukunft auch der Bundestrojaner seinen Weg auf ihren oder meinen PC finden. Wenn sie jetzt den Begriff 0day-Exploit googeln, dann bitte besser JavaScript und die Komfortplugins für die Einbettung von Videos, PDF etc. abschalten ;-)

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Android | Apple | Hacker | Browser | Firefox | Java
Service