Aktuelle Informationen zur Sicherheitlücke in Java

4. Update: Artikel zum Java 7 Update 21

3. Update: Am 5. März 2013 stellt Oracle die Version Java 7 Update 17 zur Verfügung. Der Kapersky Lab Security News Service zeigt, wie man die Zertifikatsprüfung bei der CA anschaltet.

2. Update: Seit 4. Februar 2013 steht die Version Java 7 Update 13 zum Download bereit.

1. Update: Oracle hat in der Nacht von 13. auf 14. Januar 2013 ein Update herausgegeben, das den Fehler beheben soll.

Die Vorgeschichte: Seit 10. Januar 2013 kursieren erste Meldungen im Internet, die auf eine Sicherheitslücke in Java hinweisen. Offiziell ist das Problem auf der Seite der amerikanischen Behörde "National Vulnerability Database" beziehungsweise auf "Homeland Security" beschrieben. Inzwischen hat auch Bürger-CERT eine Warnmeldung herausgegeben.

Um ganz sicher zu gehen, lautet die Empfehlung an alle Anwender, das Java-Applet im Browser zu deaktivieren. Laut Oracle ist dies mit Java 7 Update 10 unter Windows für alle Browser über die Systemsteuerung möglich. Ansonsten erfolgt das Deaktivieren je nach Browser auf unterschiedliche Weise:

In bestimmten Fällen ist das Java-Appet jedoch erforderlich, beispielsweise um Steuerdaten an das Internet-Portal "Elster" zu übermitteln. Momentan kann der Anwender dabei nur darauf vertrauen, dass solche Websites sicher sind. Der iJUG meint, Unternehmen, die auf das Java-Applet angewiesen sind, sollten aktiv auf Oracle zugehen und einen schnellen Fix und Informationen einfordern. Dazu ein Tipp für Spezialisten: Wer auf solche Seiten angewiesen ist, kann sich einen zweiten Browser installieren, auf dem Java aktiviert ist, und diesen nur dann nutzen, wenn erforderlich und nur auf vertrauenswürdigen Seiten. 

Eine andere Möglichkeit besteht darin, einen separaten Benutzer ohne Admin-Rechte anzulegen und mit diesem nur sicherheitsempfindliche Arbeiten – wie Steuer- und Bankgeschäfte – zu erledigen. Es empfiehlt sich dabei, einen Browser mit hoher Update-Frequenz wie Firefox oder Chrome einzusetzen.

Ideal wäre allerdings, wenn Oracle das Java-Applet so einrichten würde, dass man auf einer sogenannten "Whitelist" die Webseiten eintragen kann, für die Java aktiviert sein soll.

Generell fordert der iJUG von Oracle deutlich mehr Transparenz in der Handhabung von Java, sodass auch Computer-Laien sicher damit umgehen können, und einen Termin für die Behebung der Sicherheitslücke zu nennen.  

Bitte schicken Sie Ihr Feedback an sicherheit(at)ijug.eu. Wir werden die Probleme sammeln und an Oracle kommunizieren.

Update: Oracle hat die Schwachstelle inzwischen bestätigt und eine Behebung angekündigt.

Für Administratoren gibt es eine sehr informative Seite, da das Sicherheitsmodell recht freingranular gesteuert werden kann. Sprich, deinstallieren ist auf Dauer keine vernünftige Lösung, richtiges Einstellen hilft mehr.

Bei Windows, Mac OS X und Linux gibt es in der Java Console (jcontrol) eine Einstellung, wie Applets gehandhabt werden sollen und ob sie überhaupt aktiviert sind. Ein Sicherheitslevel von "hoch" oder "sehr hoch" sollte vor dieser Art der Angriffe schützen.

Letzte Aktualisierung: 7. März 2013, 15:40 Uhr