Sicherheit

94 Prozent aller Java-Plugins veraltet

von - 01.04.2013
94 Prozent aller eingesetzten Java-Plugins sind veraltet
Die Sicherheitsfirma Websense hat eine aktuelle Feldstudie zu Java-Plug-ins im Internet veröffentlicht. Das alarmierende Ergebnis: Auf mehr als 94 Prozent aller PCs arbeiten veraltete Java-Versionen.
Das Java-Plug-In steht seit einiger Zeit unter Beschuss durch Hacker und erweist sich als besonders sicherheitsanfällig. Zahlreiche Angriffe und teils hochkritische Sicherheitslücken halten Sicherheitsexperten weltweit auf Trab. So gab das Bundesamt für Sicherheit und Informationstechnik (BSI) angesichts noch ungepatchter Lücken Empfehlungen heraus, das Java-Plug-In vorsichtshalber im Browser ganz zu deaktivieren.
Doch trotz zahlreicher Warnmeldungen in den Medien sind die meisten Nutzer noch immer nicht für die Gefahren sensibilisiert. Denn offenbar befinden sich auf vielen PCs Java-Versionen, die mehrere Monate oder sogar Jahre alt sind. Zu diesem Ergebnis kommt eine aktuelle Fallstudie des Sicherheitsunternehmens Websense, basierend auf Anfragen an mehrere zehn Millionen Computer im ThreatSeeker Network.
Dabei wurden die Analyse-Daten mit der Websense ACE (Advanced Classification Engine) Software gesammelt. Demnach sind gerade einmal 5,53 Prozent aller Rechner, auf denen das Java-Plug-In aktiviert ist, auf dem aktuellen Sicherheitsstand von Java SE, also Java 7 Update 17, beziehungsweise Java 6 Update 43. Alle anderen Versionen sind veraltet und anfällig.
Nur 21,14 Prozent der Nutzer verwenden die Java-JRE in der Version 7. In der Studie heißt es weiter, dass es schwierig sei, die Laufzeitumgebung und das dazugehörige Browser-Plug-in angesichts der zahlreichen Schwachstellen auf dem sicheren Stand zu halten, da Java unabhängig vom bevorzugten Browser aktualisiert werden muss.

Drei Viertel surfen gefährlich

In 75 Prozent aller Browser befinden sich Java-Versionen, die mindestens sechs Monate alt sind. Knapp zwei Drittel der Java-Versionen sind älter als ein Jahr und mehr als 50 Prozent älter als zwei Jahre. Sogar das im Oktober 2009 veröffentlichte Update 19 für Java 6 ist noch auf 9,04 Prozent aller untersuchten Rechner installiert. Dazu kommt auch noch, dass 78,86 Prozent aller Rechner Versionen unter Version 7 haben, wofür Oracle trotz zahlreicher Lücken keine neuen Sicherheitsupdates mehr bereitstellt.
Nach der Analyse mehrerer Milliarden Browser-Anfragen fanden die Experten heraus, dass in 93,77 Prozent der Systeme immer noch die relativ neu entdeckte Java-Sicherheitslücke CVE-2013-1493 vorhanden ist. Diese befindet sich in Java 7 Update 15 und Java 6 Update 41. Weitere 71,54 Prozent beinhalten die Lücke CVE-2012-4681. Sie steckt in den im April 2012 veröffentlichten Versionen Java 7 Update 6 und Java 6 Update 34.
Offenbar gehen die Bedrohungen oft von im Netz verfügbaren Exploit Kits aus. Sie enthalten Code für eine bestimmte Sicherheitslücke. Für die Sicherheitslücke CVE-2013-1493 nutzen Angreifer bislang nur das Exploit Kit "Cool" als Einfallstor. Für CVE-2012-4681 gibt es hingegen gleich vier Baukästen: "Blackhole 2.0", "RedKit", "CritXPack" und "Gong Da".
Angesichts der vielen Angriffe hat Oracle vor kurzem einen zusätzlichen regulären Patch-Day eingeführt. Das nächste Sicherheitsupdate steht für Java SE ab Mitte April bereit. Laut einem Bericht von heise security ist aber auch die aktuelle JRE mit der Versionsnummer 1.7.17 weiterhin angreifbar.

So schützen Sie sich

Angesichts der andauernden Bedrohung schützen Sie sich immer noch am besten, wenn Sie das Java-Plug-in im Browser deaktivieren. Bei aktuellen Java-Versionen finden Sie in der Windows-Systemsteuerung ein Java-Control-Panel. Auf der Registerkarte "Sicherheit" gibt es die Option "Java-Content im Browser deaktivieren".
Wenn Sie Webseiten aufrufen, für die Sie Java benötigen, können Sie auch die Funktion Click-to-play von Firefox und Chrome dafür verwenden. Wenn sie aktiv ist, müssen Sie vor dem Start des Plug-ins ausdrücklich zustimmen.
Firefox-Nutzer können auch ein Add-on verwenden, über das sich das Java-Plug-in bei Bedarf schnell aktivieren und wieder deaktivieren lässt, beispielsweise QuickJava. Wenn Sie lieber explizit zustimmen möchten, wenn eine Webseite Java oder andere Plug-ins verwenden will, installieren Sie Enable Click to Play.
Verwandte Themen