Sicherheit

Gefährliche Sicherheitslücke in Java

von - 11.01.2013
Gefährliche Sicherheitslücke in Java
Sicherheitsexperten haben auf mehreren Webseiten Schadcode entdeckt, der eine bisher unbekannte Sicherheitslücke in Java ausnutzt. Wer Java nicht unbedingt benötigt, sollte das Plugin deaktivieren.
Eine Sicherheitslücke in der aktuellen Java Version 7 Update 10 erlaubt es Angreifern, beliebigen Schadcode auf den PC zu kopieren und auszuführen. Dafür genügt der Besuch einer entsprechend präparierten Webseite. Ein Infektionsrisiko besteht potentiell beim Aufruf jedes beliebigen Internet-Angebots. Auch seriöse Seiten können betroffen sein, wenn der Server unzureichend gesichert ist und die Kriminellen Schadcode einschleusen konnten.
Nach einem Bericht von Malware don't need Coffee gibt es offenbar bereits etliche kompromittierte Websites, die Schadsoftware verbreiten. Das ist auch nicht verwunderlich, weil der Angriffscode im Blackhole Exploit Kit und Nuclear Pack enthalten ist. Dabei handelt es sich um Angriffsbaukästen, die in Untergrundforen angeboten und vermietet werden. Beide prüfen den Browser und die installierten Plugins auf Sicherheitslücken und schleusen Schadsoftware ein, sobald sie fündig werden. Die Software wird ständig um neue Angriffsmodule erweitert, die bekannte und auch bisher nicht bekannte Schwachstellen ausnutzen.
In einer ersten Analyse vermutet AlienVault Labs, dass die Angreifer einige Sicherheitsprüfungen umgehen und die Sicherheitsbeschränkungen bestimmter Java-Klassen aushebeln.
So schützen Sie sich
Wer Java nicht benötigt, sollte es deinstallieren. Das Sicherheitsrisiko geht aber nicht von der Java-Installation auf dem PC, sondern vom Browser-Plugin aus. Daher genügt es auch, das Plugin im Browser zu deaktivieren. Wie das geht, hat com-magazin.de im Artikel Immer noch gefährliche Lücken in Java beschrieben. Ob Java im Browser aktiv ist und welche Java-Version zum Einsatz kommt erfahren Sie im Plug-in-Check des com! Sicherheits-Check .
Ab Java 7 Update 10 lässt sich das Plugin auch für alle Browser deaktivieren. Gehen Sie in der Systemsteuerung auf "Java" und dann auf die Registerkarte "Sicherheit". Entfernen Sie das Häkchen vor "Java-Content im Browser aktivieren" und klicken Sie auf "OK".
Für einige Webseiten ist das Java-Plugin jedoch erforderlich, beispielsweise für das Dienstleistungsportal der Finanzverwaltung ElsterOnline. Wer auf Java im Browser angewiesen ist, wünscht sich wahrscheinlich eine flexiblere Lösung. Firefox-Nutzer beispielsweise können das kostenlose Add-on QuickJava verwenden. Nach Installation und Neustart des Browsers zeigt das Add-on mehrere Schaltflächen in der Statusleiste. Mit einem Klick auf "J" lässt sich Java ab- und wieder anschalten. Über die anderen Schaltflächen deaktivieren Sie bei Bedarf auch Javascript sowie Flash- oder Silverlight-Inhalte. Javascript sollten Sie jedoch in der Regel erlauben. Sonst funktionieren viele Webseiten nicht mehr ordnungsgemäß.
Verwandte Themen