BSI warnt: Kritische Schwachstelle in aktueller Java-Laufzeitumgebung
Java ist mittlerweile zum Synonym für Unsicherheit geworden. Regelmäßig erreichen uns Meldungen, wie unsicher die Software ist. Nun warnt sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer gefährlichen Sicherheitslücke. Die Schwachstelle ist bereits in weitverbreiteten Exploit-Kits vorhanden und kann somit massiv und relativ einfach ausgenutzt werden (aktuelle Java-Laufzeitumgebung, Version 7 Update 10). Aufgrund der Schwachstelle kann auf betroffenen Systemen schon beim Besuch einer manipulierten Webseite fremder Code ausgeführt werden und der Rechner so ausspioniert oder übernommen werden.
Deshalb überprüft mal lieber für euch selber, ob ihr Java benötigt, einige Leser schrieben mich schon an, dass sie bei Freunden die Rechner „entwurmen“ durften. Solltet ihr einen Mac haben: Apple hat das Java-Plugin momentan auf die Blacklist gesetzt, alternativ steht Windows- und Mac-Besitzern das Entfernen von Java zur Verfügung. Mindestens sollte man Java im Browser deaktivieren. Wie das Deaktivieren von Java für die einzelnen Browser funktioniert? Einfach bei euren eurem bevorzugtem Browser nachlesen: Firefox, Chrome, Safari, Opera und der Internet Explorer. Ob man Java erfolgreich deaktiviert hat, kann man auf der Java-Testseite überprüfen.
Hallo zusammen,
mich würde interessieren, woran ich merke, ob mein Rechner infiziert ist oder nicht? Welcher “Wurm“ zeichnet sich dafür verantwortlich? Ist aktuelle Virensoftware in der Lage den Virus zu identifizieren?
BG
Blöd nur, dass viele Seite ohne Java gar nicht gut funktioniere. Gmail wirft einen zurück in die Neunziger 😉
Nicht nur Gmail funktioniert nicht ohne das Java, auch Unternehmensanwendungen nutzen leider immer häufiger Java.
Wenn wir Java bei uns in der Firma im Browser abschalten würden, könnten unsere Mitarbeiter nach hause gehen.
Danke Oracle das du uns mit all deinen überteuerten Produkten soviel Stress bereitest.
Ist ein Eingreifen als Google Chrome Nutzer wirklich notwendig? Standardmäßig wird Java doch erst nach Genehmigung ausgeführt/geladen. Wenn man die dann eben nicht erteilt, kann doch trotz aktiviertem Java nichts passieren, oder etwa doch?
@olidie & svenp: Gmail und Java? Ich glaube ihr verwechselt da gerade Java mit JavaScript, oder?
Zu dumm, dass in der mobilen Version von Chrome nichts mehr geht, wenn Java abgeschaltet ist. Wie sieht es mit dieser Bedrohung auf mobilen Geräten aus?
Java 7 Update 10 bietet komfortabel die Möglichkeit, im eigenen Control Panel die Webbrowser-Unterstützung zu deaktivieren.
GMail und Co. brauchen Java nicht.
Die meisten Webseiten benötigen kein Java, Java war und ist schon immer ein Problem gewesen. Daran wird sich nichts ändern. Und wenn ein Unternehmen zu 99% auf Java setzt sollten die mal bessere Administratoren einstellen oder Leute die was davon verstehen. Es ist ja auch nicht die erste Lücke in JAVA.
Java ist eine tolle Programmiersprache, aber in Browsern seit einigen Jahren herzlich unnötig.. Außerdem funktioniert der update Mechanismus nicht besonders gut, ohne adminrechte geht da nichts. Insofern habe ich Java im Browser auf allen Rechnern die ich betreue seit mindestens 2 Jahren deaktiviert. Es hat sich noch nie jemand über eine Website beschwert die nicht funktioniert.
Man sollte allerdings doch Java und Javascript auseinander halten können.
In Opera kann man einzelne Plugins anscheinend nur über die operaprefs.ini ([Java]
Enabled=0) deaktivieren. Was allerdings nicht funktioniert. Das Plugin läuft und läuft.
Das Java-Plugin ist in Chrome durchaus aktiv, wenn man Java installiert hat. Das sollte man abschalten. Was man ja über chrome://plugins/ schön kann. Darüber kann man es auch auf die Schnelle aktivieren, wenn man es doch mal braucht.
Die Anweisungen für IE sind eine Frechheit. In Windows gilt: Je simpler die Anpassung für irgendwas, desto tiefer und verworrener der Workflow. Na ja, das Lockscreenbild in einem Mehrusersystem auszutauschen, war noch schlimmer. Habt Ihr das eigentlich auch, wenn Ihr mal IE startet, dass Ihr ständig Konfigurationsverhöre über Euch ergeben lassen und Optimierungsvorschläge ablehnen müsst? Da mache ich ja lieber Steuererklärung.
Also Gmail funktioniert ohne Java! Definitiv. Ihr verwechselt hier Java mit JavaScript, das sind zwei grundverschiedene Dinge, auch wenn sie beide das Wort „Java“ im Namen tragen.
Ich habe bei mir schon seit längerem das Java Plugin im Browser komplett deaktiviert, und das war in 99,99% der Fälle noch nie ein Problem, es funktioniert alles wie gewünscht und gewohnt.
Die einzige Seite die Java Unterstützung benötigte war in meinem Fall eine Seite für die Bestellung von Fotos zum entwickeln. Dann wurde halt das Plugin kurz wieder aktiviert, Fotos bestellt, und wieder deaktiviert.
@Helen: In Opera kann man doch einfach auch about:pugins in die Adresszeile eintippen und dann Java deaktivieren. So habe ich das schon vor Monaten gemacht.
upps Schreibfehler: es muss natürlich about:plugins heißen
Das Problem betrifft aber nur die Java Plugins für Browser oder ? Als wenn man die Plugins deaktiviert kann auch nichts passieren ? Leider brauche ich Java für den jDownloader.
was mich mal interessieren würde ist warum immer nur Java-Lücken so in den Medien breitgetreten werden. Das grenzt schon an Propaganda, wenn ich den „Otto-Normalo“ nach Java frage, bekomme ich als Antwort „Keine Ahnung was das ist, aber es ist unsicher und man soll es ausschalten!“ – was ein Blödsinn!
Warum wird eigentlich kaum über die etlichen Windows Com oder .Net Sicherheitslücken berichtet? Diese sind viel verbreiteter und ebenso gefährlich.
@masi: es werden nicht nur Java-Lücken breit getreten, das ist völliger Quatsch! Momentan führen das Flash-Plugin, Lücken in PDF-Readern und Java die Hitliste der Infektionen an. Das ist immer wieder Thema und wird je nach Schwere ebenso alarmierend betrachtet. Es gibt aber selten so gravierende Lücken, die sich so leicht ausnutzen lassen.
Der aktuelle Alarm gilt einfach der Tatsache, dass das draußen bereits einige Angriffs-Baukästen für Dummies existieren die die Lücke aktiv ausnutzen. Und da das Sichheistproblem anscheinend vollen Zugriff auf den Rechner ermöglich, ist das hochkritisch. Wenn man dann noch bedenkt, dass Oracle immer ewig braucht, um bekannte Sicherheitsrisiken zu beheben, schalten verantwortungsvolle Menschen das Java-Plugin aus.
Nicht jeder liest laufend Sicherheitsmeldungen (kann man nun wirklich nicht von allen verlangen!) und so ist bei so einem Scheunentor eine gute Portion Alarm nötig, um alle normalen Nutzer zu erreichen.
wichtig: erstmal alte versionen deinstallieren, die bleiben munter bestehen (und die entsprechenden sicherheitslücken) auch bei neueren install. dann Version 7 Update 10 installieren. anschließend: C:\Program Files\Java\jre7\bin\javacpl doppelklick und reiter sicherheit wählen. hier haken raus bei Java-Content im browser aktivieren. schieberegler nach unten fahren: Einstellungen. 2. + 7. + 9. feld markieren. fertig. Java ist jetzt für die browser abgestellt, jedoch für programme (jdownloader) weiterhin verfügbar.
hier noch ein hilfsprogramm: http://singularlabs.com/software/javara/
Vielen Dank „hansi“ für diese ausführliche Erklärung!
Weiß jmd ob die Sicherheitslücke in 7u11 noch besteht?
Java-basierte Sicherheitsrisiken werden häufig über sogenannte Exploit Kits verbreitet. Java-Hersteller Oracle reagierte auf die schlechte Sicherheitslage kürzlich mit einem außerplanmäßigen Patch, der Mitte April bereitgestellt werden soll. Ursprünglich sollte erst im Juni wieder ein Sicherheitsupdate für Java folgen. (Quelle: http://www.marktundmittelstand.de/nachrichten/produktion-technologie/java-installationen-als-sicherheitsrisiko/ )
Also müssen wir noch bis Mitte April warten, bis wir die volle Sicherheit haben.
Gruß,
W.