Immer noch gefährliche Lücken in Java

Die meisten der am 30. August 2012 mit Java 7 Update 7 geschlossenen Sicherheitslücken hat Adam Gowdiak von der polnischen Firma Security Explorations entdeckt. Bereits im April 2012 übergab er die Ergebnisse seiner Sicherheit-Prüfungen an Oracle. Das Unternehmen hat darauf jedoch nur sehr zögerlich reagiert und laut Gowdiak auch mit dem jüngsten Update noch nicht alle Sicherheitslücken beseitigt. Insgesamt hat der Experte inzwischen 29 Schwachstellen an Oracle gemeldet und mit Beispielcode („Exploit“) belegt.

Bei seinen Untersuchungen des aktuellen Java 7 Update 7 fand Gowdiak heraus, dass die bisherigen Exploits nicht mehr funktionieren. Die Java-Sandbox ließ sich nicht umgehen und daher auch kein Schadcode einschleusen. Er kombinierte dann aber die ihm bekannten und bisher nicht beseitigten Schwachstellen. Damit gelang es ihm erneut die Java-Sicherheitsfunktionen auszuhebeln.

Bisher ist nicht bekannt, bis wann Oracle die verbleibenden und neu entdeckten Sicherheitslücken beseitigen will. Allen Benutzern ist daher zu empfehlen, Java komplett zu deinstallieren, wenn sie es nicht für bestimmte Programme benötigen. Java ist beispielsweise für einige Funktionen in OpenOffice und LibreOffice erforderlich, etwa für Makros.

Das eigentliche Risiko geht jedoch vom Java-Plug-in im Browser aus. Da es kaum noch Webseiten gibt, die Java erfordern, solle man es hier auf jeden Fall deaktivieren. Java ist nicht mit JavaScript zu verwechseln: Einen JavaScript-Interpreter bringen alle Browser von Haus aus mit. JavaScript ist für die Darstellung vieler Webseiten erforderlich. Java-Programme sind dagegen eigenständige Anwendungen, die im Browser-Fenster laufen.

So deaktivieren Sie das Java-Plug-in in Ihrem BrowserOb das Java-Plug-in in Ihrem Browser aktiviert ist, erfahren Sie am schnellsten über den Plug-in-Check des com! Sicherheits-Checks. Hier sehen Sie auch, welche Java-Version installiert ist.

Mozilla Firefox: Gehen Sie auf „Extras, Add-ons“ und dann auf „Plugins“. Klicken Sie neben dem Java-Plug-in auf „Deaktivieren“. Das Java-Plug-in taucht in der Liste beispielsweise unter dem Namen „Java(TM) Platform SE 7 U7 10.7.2.10“ auf.

Google Chrome: Geben Sie in die Adressleiste chrome://plugins ein. Suchen Sie nach dem Java-Plug-in (etwa: „Java - Version: 10.7.2.10 NPRuntime Script Plug-in Library for Java(TM) Deploy“). Klicken Sie auf „Deaktivieren“.

Opera: Geben Sie in die Adressleiste opera:plugins ein. Suchen Sie das Java-Plug-in in der Liste. Es tauch hier beispielsweise unter dem Namen „Java(TM) Platform SE 7 U7 - 10.7.2.10“ auf. Klicken Sie auf „Deaktivieren“.

Safari: Gehen Sie im Menü auf „Bearbeiten, Einstellungen“. Wechseln Sie auf die Registerkarte „Sicherheit“. Entfernen Sie das Häkchen vor „Java aktivieren“.

Internet Explorer: Im Internet Explorer lässt sich Java nicht einfach und zuverlässig deaktivieren. Wenn Sie diesen Browser verwenden, ist es daher besser, Java komplett zu deinstallieren. Sollten Sie auf den Internet Explorer angewiesen sein, finden Sie bei Microsoft eine ausführliche Anleitung im Artikel Hinweise zum Umgang mit der Zero-Day-Lücke in Java. Kontrollieren Sie danach über den Plug-in-Check des com! Sicherheits-Checks ob Java tatsächlich deaktiviert ist.