Tipps und Tricks gegen Sicherheitsrisiken

Java-Security-Risiken: So schützen Sie sich

Security-Experten warnen

Java läuft nicht nur im Browser ab: In diesen Fällen kommt eine Anwendung auf dem eigenen PC zum Einsatz, die teilweise mit einem uneingeschränkten Zugriff arbeitet.
Java läuft nicht nur im Browser ab: In diesen Fällen kommt eine Anwendung auf dem eigenen PC zum Einsatz, die teilweise mit einem uneingeschränkten Zugriff arbeitet.
Foto: Thomas Bär / Frank-Michael Schlede

Auch die Sicherheitsfirmen werden nicht müde, immer wieder auf die Gefahren hinzuweisen: Java taucht regelmäßig in Statistiken und Berichten auf den ersten Plätzen der gefährlichen Software auf. Im Kaspersky Lab Report vom Februar über die größten Sicherheitsrisiken wird Java als der "unangefochtene Spitzenreiter" bezeichnet. Die Kaspersky-Experten können sich daher einen Seitenhieb auf Oracle nicht verkneifen, das demnach 2012 ein "besonders hartes Jahr" zu erleiden hatte.

Besonders erschreckend ist eine weitere Erkenntnis dieses Reports. Die Spezialisten haben sich angesichts der vielen Java-Sicherheitslücken damit befasst, wie die Software auf den verschiedenen Systemen im realen Einsatz verwendet wird. Sie konzentrierten sich dabei auf den relativ kurzen Zeitraum zwischen zwei wichtigen Updates der Software: Am 30. August 2012 stellte Oracle die Versionen Java SE 7 Update 7 und Java SE 6 Update 35 bereit, und am 16. Oktober des gleichen Jahres erfolgten die Updates auf die Versionen Java SE 7 Update 9 und SE 6 Update 37.

Die Untersuchung der Anwenderinformationen ergab, dass allein in diesem kurzen Zeitraum 41 verschiedene Hauptversionen von Java 6 und 7 bei den Nutzern im Einsatz waren. Die Forscher untersuchten darüber hinaus, wie schnell die Nutzer innerhalb dieser sieben Wochen auf die jeweils sicherere Version von Java wechselten: Sie stellten fest, dass nur 30 Prozent der Nutzer das Update vorgenommen hatten, bevor schon das nächste Konglomerat an Sicherheitsflicken zur Verfügung stand.

Hilfreich: Mithilfe des Control Panels können Nutzer sowohl die Frequenz als auch die Art und Weise festlegen, in der entsprechende Updates von Java heruntergeladen und installiert werden.
Hilfreich: Mithilfe des Control Panels können Nutzer sowohl die Frequenz als auch die Art und Weise festlegen, in der entsprechende Updates von Java heruntergeladen und installiert werden.
Foto: Thomas Bär / Frank-Michael Schlede

Dass die potenzielle Gefahr, die von Java-Software auf den PCs ausgehen kann, längst nicht vorbei ist, zeigt zudem ein Proof of Concept des polnischen Start-ups Security Explorations: Am 25. Februar entdeckte das Unternehmen eine neue kritische Schwachstelle ("Issue 54") in der Standard-Edition der Java-SE-Plattform, über die es Oracle umgehend informierte. Als die Sicherheitsforscher ihre Untersuchungen am 18. März - also mehr als drei Wochen später - öffentlich machten, gab es jedoch seitens Oracle immer noch keinerlei Reaktion. Weder wurde die Schwachstelle als solche bestätigt, noch gab es einen Hinweis auf einen Patch.