SicherheitslückeJava-Software ist Magnet für Hacker

Java läuft auf schätzungsweise drei Milliarden Computern. Das macht die Software zum perfekten Ziel für Angreifer. Wie ein aktuelles Leck gerade wieder zeigte. von 

Oracle-Chef Larry Ellison hat immer öfter bei Java JRE nachzubessern. Hier spricht er auf der Oracle Open World Conference.

Oracle-Chef Larry Ellison hat immer öfter bei Java JRE nachzubessern. Hier spricht er auf der Oracle Open World Conference.  |  © Justin Sullivan/Getty Images

Die Software Java JRE, die in nahezu jedem Browser installiert ist, hatte bis Sonntag ein Problem: Aufgrund eines sogenannten Zero Day Exploits konnten Unbefugte theoretisch auf Millionen Rechner zugreifen.

Das Leck, das Oracle gerade geschlossen hat, glich im aktuellen Fall mehr einem Scheunentor. Denn Zero Day Exploits heißen so, weil sie bislang unveröffentlicht sind und im Zweifel nicht einmal den Entwicklern der Software bekannt. Angreifer können bis zu einem Update also in Ruhe andere Systeme attackieren.

Anzeige

Die aktuelle Sicherheitslücke in Oracles Plattform Java JRE 7 ist vorerst geschlossen. Am Sonntag veröffentlichte der kalifornische Software-Konzern das Update, das das Leck beseitigt. Millionen Nutzer waren davor tagelang gefährdet, denn allein die aktuelle Version Java JRE 7 ist nach Angaben von Oracle weltweit auf etwa 850 Millionen Rechnern installiert.

Softwareanalysten der Firma Alienvault gelang kurz nach Veröffentlichung der Lücke der Zugriff auf einen Windows-Rechner. Aber auch Computer mit dem Betriebssystem MacOS waren betroffen.

Analysten warnen grundsätzlich vor Java

Java JRE ist eine sogenannte Umgebung. Sie dient dazu, Programme zu öffnen, die mit der Programmiersprache Java geschrieben sind. Programme in Java, wie etwa Minecraft, laufen auf jedem Betriebssystem. Deshalb ist Java JRE sehr verbreitet. Daneben benutzen auch viele Anwendungen im Internet Java als Programmiersprache, weshalb Java in Browsern wie Firefox, Internet Explorer und Opera installiert ist.

Das aktuelle Problem ist nun zwar beseitigt, trotzdem stehen Programmierer wie Adam Gowdiak und selbst der US-Heimatschutz Java JRE 7 weiter skeptisch gegenüber. Und das Bundesamt für Sicherheit in der Informationstechnik hat nach Veröffentlichung des Updates zwar seine Warnung aufgehoben. Dennoch steht auf den Seiten des Bundesamtes exemplarisch, wie Nutzer das Plug-in für ihren Browser deaktivieren und Java so außer Funktion setzen können.

Die Skepsis vieler Experten hat ihren Grund. Es war nicht das erste Mal, dass Oracle Probleme mit Java JRE meldete. Erst im August 2012 war ein solches Zero Day Exploit entdeckt worden.

Leserkommentare
  1. also, man kann doch sicher besser recherchieren! erbärmlicher Artikel!

    betroffen sind erst mal ausschließlich so genannte Applets. also kleine Java-Programme, die übers Browser mit aktivierter Java-Unterstützung von der Internetseite aufgerufen und local auf dem Rechner ausgeführt werden.
    das erkennt der Laie in der Regel dadurch, dass auf der Taskleiste unten rechts ein neuer Icon erscheint, eins mit Kaffeetasse.

    Und das ist die EINZIGE Möglichkeit, wie der bösartiges Programm auf den Rechner kommen kann. Alle Anderen Java-Applikationen, sei es lokal installiert, oder serverseitig ausgeführt, sind von dieser Lücke nicht betroffen und somit unbedenklich! und das sind die meisten!
    nun, wie der Mitforist bereits erklärte, gibt es selbst dann noch etlichen Hindernisse zu überwinden!
    um das Problem aber zu beheben, reicht es die Java-Unterstützung für den Browser zu deaktivieren!
    sollte man sowieso tun, man braucht es nicht häufig, und man kann es bei Bedarf leicht aktivieren.

    9 Leserempfehlungen
  2. Java läuft nicht unter iOS und lässt sich dort auch nicht ohne Jail-Break installieren.

    3 Leserempfehlungen
  3. Man merkt sofort, daß der Autor keine Ahnung von Java und Entwicklung hat. Zudem wurden Fakten schlecht recherchiert. Stellvertretend werde ich nur einige Punkte aufgreifen, obwohl mich der gesamte Artikel in seiner Art maßlos ärgert.

    "Diese Unabhängigkeit von einer Plattform macht auch Java JRE für Angreifer attraktiv. Java läuft unter Windows, MacOS, Android und Linux."

    Javacode wird in einer sogenannten Virtual Machine ausgeführt, diese ist aber nicht plattformunabhängig. Es gibt zudem auch andere VMs, als nur die von Oracle(vormals von Sun betreut).

    "Im jährlichen Report von Kaspersky Labs führt Java seit Jahren die Liste der am häufigsten angegriffenen Software an."

    Die Behauptung Java liege seit Jahren vorn ist falsch. Im Jahre 2011 gingen 25% der Angriffen gegen die JRE und 35% gegen den Acrobat Reader. Die Jahre davor habe ich dann nicht weiter recherchiert. In der Statistik ist nicht aufgeführt, wo diese Angriffe stattfanden und wer angegriffen wurde. Die Relevanz für Privatnutzer ist daher unklar.

    Es gibt einfache Grundregeln um die meisten Angriffe zu verhindern, warum werden diese nicht im Artikel erwähnt?

    3 Leserempfehlungen
  4. >Java JRE ist eine sogenannte Umgebung.

    Dieser Satz ist aus zweierlei Gründen fragwürdig.
    1) "Java JRE" würde ausgeschrieben "Java Java Runtime Environment" bedeuten. Doppelt gemoppelt hält besser?
    2) Bitte unter keinen Umständen das R in JRE vernachlässigen. Runtime Environment = Laufzeitumgebung != Umgebung. Nennt es von mir aus "Ausführungsumgebung" - aber bitte nicht einfach Umgebung.

    2 Leserempfehlungen
  5. Jede weit verbreitete Software ist ein gutes Angriffsziel, und dass Oracle die lästige Sun-Mitgift Java vernachlässigt, weil sie gut ins Konzept des Konkurrenten SAP passt aber nicht so gut in die eigene Produktwelt, demonstriert der Softwareriese deutlich. Tatsächlich gibt es aber eine Menge netzwerkfähige Standardsoftware (jenseits von SAP ;-) ), die sich schon auf Durchschnitts-Schülerlaptops findet und dann erst recht bei Studenten und in den Firmen. Java hat sich als betriebssystemunabhängige grafische Oberfläche etabliert. Der rechenintensive Code wird in C/C++ geschrieben, die GUI in Java draufgesetzt, und schon läuft die Software auf allen relevanten PC- und Cluster-Betriebssystemen. Was den Mac angeht: Java ist Open Source, nach der Überwindung einiger Kleinigkeiten kann man sich das JDK selbst kompilieren. Niemand ist gezwungen, seine Software ausschließlich fertig von Apple aus dem Store zu laden. Nun zum Punkt: Wenn Javas Netzwerkfähigkeit in den Programmen zum Tragen kommt, sind sie natürlich potentiell angreifbar, und Sicherheitslücken im Netzwerkstack können dann schon zu Problemen führen, ohne dass die Rechner überhaupt surfen. Sie werden vom Angreifer einfach aktiv attackiert. Noch eins in Sachen Schmuddelpages: Es ist übliche Praxis, die Werbebannerverkäufer anzugreifen. Weil nicht nur Warez-Seiten Werbung einblenden sondern auch Die Zeit oder andere Onlinemagazine (wir machen ja hier keine Werbung ;-) ), kriegt dann jeder die verseuchte Werbung - have phun.

    2 Leserempfehlungen
  6. .. doch wohl eher Panikmache ..
    - eine Sicherheitslücke allein ist noch nicht schädlich
    - dazu muss ein böser Hacker erst mal ein Java-Applet schreiben (für Browser)
    - dann muss dieses böse Java-Programm von einem Anwender aufgerufen
    - ohne Aufruf kann der Hacker auch nichts schädliches tun auf dem Anwenderrechner
    - auf 'seriösen' Seiten wird ein Hacker das kaum draufbringen
    übrigens: Java hat mit JavaScript sicherheitstechnisch nichts zu tun

    Also: wenn die Anwender von Seiten fernbleiben, die Sofort-Kredite, Poker, Porno oder illegale Downloads anbieten, dann minimiert das schon mal sehr.

    Ich vermute, mit Viren in Mail-Anhängen werden millionenmal mehr Schäden angerichtet. Warum soll ein Hacker mit Java einbrechen, wenns mit Mails so einfach ist?

    Eine Leserempfehlung
    Reaktionen auf diesen Kommentar anzeigen

    "auf 'seriösen' Seiten wird ein Hacker das kaum draufbringen" Suchen Sie mal ein wenig im Internet nach java infiziert und seriös und schon sehen Sie, dass das Ihre Aussage bei Weitem nicht stimmt.
    Es muss nur eine infizierte Werbung auf einer ansonsten seriösen Seite auftauchen und schon wars das.
    Es reicht nicht, sich nur "anständing" zu benehmen, und schon ist man sicher.

    ist Panik angebracht, weil mein Computer durch ein Java-Update schon einmal infiziert wurde... da sieht man das vielleicht eher anders. Und da ich mich mit Computern an sich nicht wirklich auskenne, bin ich froh, wenn da mal ein bisschen Panik gemacht und Hilfestellung gegeben wird.

  7. Im Artikel wird iOS mit MacOS verwechselt. Betroffen ist tatsächlich MacOS (Apple Computer, Laptops) aber nicht iOS (iPhone, iPad).

    Eine Leserempfehlung
  8. 10. Irrtum

    "auf 'seriösen' Seiten wird ein Hacker das kaum draufbringen" Suchen Sie mal ein wenig im Internet nach java infiziert und seriös und schon sehen Sie, dass das Ihre Aussage bei Weitem nicht stimmt.
    Es muss nur eine infizierte Werbung auf einer ansonsten seriösen Seite auftauchen und schon wars das.
    Es reicht nicht, sich nur "anständing" zu benehmen, und schon ist man sicher.

    Eine Leserempfehlung
    Antwort auf "PAAAAAAAAAAAANIK!!!!!!"

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Android | Apple | Hacker | Browser | Firefox | Java
Service