Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

News: Nur halbe Sache

Vorsicht: Aktuelles Java-Update lässt Sicherheitsloch offen

Michael Nickles / 15 Antworten / Flachansicht Nickles

Vor wenigen Tagen wurde in der aktuellen Java-Laufzeitumgebung eine schwerwiegende Sicherheitslücke entdeckt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mitgeteilt, dass sich die Schwachstelle bereits in Exploit-Kits ("Baukästen" für Schad-Software) befindet und deshalb sehr einfach ausgenutzt werden kann.

Somit kann über die Java-Lücke beliebiger Code auf einem Rechner ausgeführt werden. Am Freitag hab es noch kein Update um das Sicherheitsproblem zu beheben. Das BSI hat deshalb dazu geraten, die Java-Laufzeitumgebung zu deinstallieren beziehungsweise die Java-Plugins in den verwendeten Browsern zu deaktivieren.

Betroffen sind alle "Java 7 mit Update 10"-Versionen und ältere.  Der Hersteller Oracle hat recht schnell reagiert und ein Sicherheits-Update veröffentlicht, das Java auf den Stand "Java 7 mit Update 11" bringt. Diverse Quellen im Internet haben daraufhin berichtet, dass das Problem damit gelöst sei.

Dem ist allerdings wohl nicht so. Laut Bericht von Cert flickt das Update lediglich eine der beiden Sicherheitslöcher. Durch die Installation des Update 11 wird die Gefahr also bestenfalls halbiert, aber nicht beseitigt.


Vorsicht: das aktuell verfügbare Update 11 flickt nur eines der beiden schwerwiegenden Sicherheitslöcher in Java.

Aktuell bleibt also weiterhin nur der billige Tipp Java zu deaktivieren. Verwirrenderweise widersprechen sich die Mitteilung von Cert und die aktuelle vom BSI. Darin berichtet das BSI, dass die entdeckte kritische Sicherheitslücke durch das Update 11 geschlossen sei, es keine Bedenken zum Einsatz von Java mehr gibt.

Michael Nickles meint:

Also was jetzt? Das BSI meint das Problem ist gelöst, die Sicherheitsseite Cert berichtet, dass nur eine von zwei Lücken geschlossen sei. Es ist also gewiss kein Fehler, Java erstmal deaktiviert zu lassen. Der beste Tipp ist aber vermutlich der hier: Java einfach wegzuschmeißen, es zu deinstallieren - ganz einfach via Systemssteuerung/Software.

Denn: Java braucht es heute eigentlich nur noch in wenigen Fällen. Viele haben es halt seit geraumer Zeit drauf und wissen gar nicht, dass es gar nicht benötigt wird. Man verliert also nichts, wenn man es testweise einfach mal runterschmeißt.

Aber bitte Java und Javascript nicht verwechseln - das sind trotz ähnlicher Bezeichnung völlig verschiedene Sachen! Wer Javascript im Browser deaktiviert, wird viele Webseiten nicht mehr brauchbar nutzen können.

bei Antwort benachrichtigen