BSI warnt: Kritische Schwachstelle in aktueller Java-Laufzeitumgebung

12. Januar 2013 Kategorie: Backup & Security, Software & Co, geschrieben von: caschy

Java ist mittlerweile zum Synonym für Unsicherheit geworden. Regelmäßig erreichen uns Meldungen, wie unsicher die Software ist. Nun warnt sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer gefährlichen Sicherheitslücke. Die Schwachstelle ist bereits in weitverbreiteten Exploit-Kits vorhanden und kann somit massiv und relativ einfach ausgenutzt werden (aktuelle Java-Laufzeitumgebung, Version 7 Update 10). Aufgrund der Schwachstelle kann auf betroffenen Systemen schon beim Besuch einer manipulierten Webseite fremder Code ausgeführt werden und der Rechner so ausspioniert oder übernommen werden.

Java

Deshalb überprüft mal lieber für euch selber, ob ihr Java benötigt, einige Leser schrieben mich schon an, dass sie bei Freunden die Rechner “entwurmen” durften. Solltet ihr einen Mac haben: Apple hat das Java-Plugin momentan auf die Blacklist gesetzt, alternativ steht Windows- und Mac-Besitzern das Entfernen von Java zur Verfügung. Mindestens sollte man Java im Browser deaktivieren. Wie das Deaktivieren von Java für die einzelnen Browser funktioniert? Einfach bei euren eurem bevorzugtem Browser nachlesen: FirefoxChromeSafariOpera und der Internet Explorer. Ob man Java erfolgreich deaktiviert hat, kann man auf der Java-Testseite überprüfen.


Vielen Dank für das Lesen dieses Blogs! Wenn ihr uns unterstützen wollt, dann schaut euch auch diese Advertorials an, die wir auf separaten Seiten geschaltet haben: HP Cashback Aktion. Danke, jeder Aufruf hilft uns.

Neueste Beiträge im Blog

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 17015 Artikel geschrieben.


22 Kommentare

Lars 12. Januar 2013 um 08:08 Uhr

Hallo zusammen,

mich würde interessieren, woran ich merke, ob mein Rechner infiziert ist oder nicht? Welcher “Wurm“ zeichnet sich dafür verantwortlich? Ist aktuelle Virensoftware in der Lage den Virus zu identifizieren?

BG

olidie 12. Januar 2013 um 08:34 Uhr

Blöd nur, dass viele Seite ohne Java gar nicht gut funktioniere. Gmail wirft einen zurück in die Neunziger ;-)

svenp 12. Januar 2013 um 08:43 Uhr

Nicht nur Gmail funktioniert nicht ohne das Java, auch Unternehmensanwendungen nutzen leider immer häufiger Java.
Wenn wir Java bei uns in der Firma im Browser abschalten würden, könnten unsere Mitarbeiter nach hause gehen.
Danke Oracle das du uns mit all deinen überteuerten Produkten soviel Stress bereitest.

Ben 12. Januar 2013 um 08:48 Uhr

Ist ein Eingreifen als Google Chrome Nutzer wirklich notwendig? Standardmäßig wird Java doch erst nach Genehmigung ausgeführt/geladen. Wenn man die dann eben nicht erteilt, kann doch trotz aktiviertem Java nichts passieren, oder etwa doch?

@olidie & svenp: Gmail und Java? Ich glaube ihr verwechselt da gerade Java mit JavaScript, oder?

Thomas Beling 12. Januar 2013 um 09:16 Uhr

Zu dumm, dass in der mobilen Version von Chrome nichts mehr geht, wenn Java abgeschaltet ist. Wie sieht es mit dieser Bedrohung auf mobilen Geräten aus?

Thorsten Lange 12. Januar 2013 um 09:17 Uhr

Java 7 Update 10 bietet komfortabel die Möglichkeit, im eigenen Control Panel die Webbrowser-Unterstützung zu deaktivieren.

GMail und Co. brauchen Java nicht.

Dirk 12. Januar 2013 um 09:58 Uhr

Die meisten Webseiten benötigen kein Java, Java war und ist schon immer ein Problem gewesen. Daran wird sich nichts ändern. Und wenn ein Unternehmen zu 99% auf Java setzt sollten die mal bessere Administratoren einstellen oder Leute die was davon verstehen. Es ist ja auch nicht die erste Lücke in JAVA.

Christian 12. Januar 2013 um 10:11 Uhr

Java ist eine tolle Programmiersprache, aber in Browsern seit einigen Jahren herzlich unnötig.. Außerdem funktioniert der update Mechanismus nicht besonders gut, ohne adminrechte geht da nichts. Insofern habe ich Java im Browser auf allen Rechnern die ich betreue seit mindestens 2 Jahren deaktiviert. Es hat sich noch nie jemand über eine Website beschwert die nicht funktioniert.
Man sollte allerdings doch Java und Javascript auseinander halten können.

Helen 12. Januar 2013 um 10:19 Uhr

In Opera kann man einzelne Plugins anscheinend nur über die operaprefs.ini ([Java]
Enabled=0) deaktivieren. Was allerdings nicht funktioniert. Das Plugin läuft und läuft.

Das Java-Plugin ist in Chrome durchaus aktiv, wenn man Java installiert hat. Das sollte man abschalten. Was man ja über chrome://plugins/ schön kann. Darüber kann man es auch auf die Schnelle aktivieren, wenn man es doch mal braucht.

Die Anweisungen für IE sind eine Frechheit. In Windows gilt: Je simpler die Anpassung für irgendwas, desto tiefer und verworrener der Workflow. Na ja, das Lockscreenbild in einem Mehrusersystem auszutauschen, war noch schlimmer. Habt Ihr das eigentlich auch, wenn Ihr mal IE startet, dass Ihr ständig Konfigurationsverhöre über Euch ergeben lassen und Optimierungsvorschläge ablehnen müsst? Da mache ich ja lieber Steuererklärung.

elknipso 12. Januar 2013 um 10:33 Uhr

Also Gmail funktioniert ohne Java! Definitiv. Ihr verwechselt hier Java mit JavaScript, das sind zwei grundverschiedene Dinge, auch wenn sie beide das Wort “Java” im Namen tragen.

Ich habe bei mir schon seit längerem das Java Plugin im Browser komplett deaktiviert, und das war in 99,99% der Fälle noch nie ein Problem, es funktioniert alles wie gewünscht und gewohnt.
Die einzige Seite die Java Unterstützung benötigte war in meinem Fall eine Seite für die Bestellung von Fotos zum entwickeln. Dann wurde halt das Plugin kurz wieder aktiviert, Fotos bestellt, und wieder deaktiviert.

Joerg 12. Januar 2013 um 10:51 Uhr

@Helen: In Opera kann man doch einfach auch about:pugins in die Adresszeile eintippen und dann Java deaktivieren. So habe ich das schon vor Monaten gemacht.

Joerg 12. Januar 2013 um 10:52 Uhr

upps Schreibfehler: es muss natürlich about:plugins heißen

andy 12. Januar 2013 um 12:45 Uhr

Das Problem betrifft aber nur die Java Plugins für Browser oder ? Als wenn man die Plugins deaktiviert kann auch nichts passieren ? Leider brauche ich Java für den jDownloader.

masi 12. Januar 2013 um 13:53 Uhr

was mich mal interessieren würde ist warum immer nur Java-Lücken so in den Medien breitgetreten werden. Das grenzt schon an Propaganda, wenn ich den “Otto-Normalo” nach Java frage, bekomme ich als Antwort “Keine Ahnung was das ist, aber es ist unsicher und man soll es ausschalten!” – was ein Blödsinn!

Warum wird eigentlich kaum über die etlichen Windows Com oder .Net Sicherheitslücken berichtet? Diese sind viel verbreiteter und ebenso gefährlich.

FriedeFreudeEierkuchen 12. Januar 2013 um 16:32 Uhr

@masi: es werden nicht nur Java-Lücken breit getreten, das ist völliger Quatsch! Momentan führen das Flash-Plugin, Lücken in PDF-Readern und Java die Hitliste der Infektionen an. Das ist immer wieder Thema und wird je nach Schwere ebenso alarmierend betrachtet. Es gibt aber selten so gravierende Lücken, die sich so leicht ausnutzen lassen.

Der aktuelle Alarm gilt einfach der Tatsache, dass das draußen bereits einige Angriffs-Baukästen für Dummies existieren die die Lücke aktiv ausnutzen. Und da das Sichheistproblem anscheinend vollen Zugriff auf den Rechner ermöglich, ist das hochkritisch. Wenn man dann noch bedenkt, dass Oracle immer ewig braucht, um bekannte Sicherheitsrisiken zu beheben, schalten verantwortungsvolle Menschen das Java-Plugin aus.
Nicht jeder liest laufend Sicherheitsmeldungen (kann man nun wirklich nicht von allen verlangen!) und so ist bei so einem Scheunentor eine gute Portion Alarm nötig, um alle normalen Nutzer zu erreichen.

hansi 13. Januar 2013 um 17:00 Uhr

wichtig: erstmal alte versionen deinstallieren, die bleiben munter bestehen (und die entsprechenden sicherheitslücken) auch bei neueren install. dann Version 7 Update 10 installieren. anschließend: C:\Program Files\Java\jre7\bin\javacpl doppelklick und reiter sicherheit wählen. hier haken raus bei Java-Content im browser aktivieren. schieberegler nach unten fahren: Einstellungen. 2. + 7. + 9. feld markieren. fertig. Java ist jetzt für die browser abgestellt, jedoch für programme (jdownloader) weiterhin verfügbar.
hier noch ein hilfsprogramm: http://singularlabs.com/software/javara/

pielmeiera 14. Januar 2013 um 16:31 Uhr

Vielen Dank “hansi” für diese ausführliche Erklärung!

Sebastian 16. Januar 2013 um 07:31 Uhr

Weiß jmd ob die Sicherheitslücke in 7u11 noch besteht?

Wasi 1. April 2013 um 17:52 Uhr

Java-basierte Sicherheitsrisiken werden häufig über sogenannte Exploit Kits verbreitet. Java-Hersteller Oracle reagierte auf die schlechte Sicherheitslage kürzlich mit einem außerplanmäßigen Patch, der Mitte April bereitgestellt werden soll. Ursprünglich sollte erst im Juni wieder ein Sicherheitsupdate für Java folgen. (Quelle: http://www.marktundmittelstand.....itsrisiko/ )
Also müssen wir noch bis Mitte April warten, bis wir die volle Sicherheit haben.

Gruß,
W.


3 Trackback(s)

12. Januar 2013
Links aus meinem Feedreader 02/13 | Ein Umhang um einen Essigkrug
14. Januar 2013
Oracle aktualisiert Java und flickt kritische Sicherheitslücke
10. März 2013
ELSTER: Steuererklärung in Zukunft ohne Java

Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.