Java: Schwere Sicherheitslücke betrifft Millionen Rechner

Java-Hersteller Oracle hat ein schweres Sicherheitsproblem zugegeben. Allein in Deutschland sind zig Millionen Rechner betroffen, Kriminelle nutzen die Lücken bereits für Angriffe über manipulierte Websites. Nutzer sollten umgehend die Software aktualisieren.

Angriff auf Browser (Symbolbild): Java-Lücke gefährdet Windows-RechnerZur Großansicht
Corbis

Angriff auf Browser (Symbolbild): Java-Lücke gefährdet Windows-Rechner

Die Java-Technik ist praktisch für Programmierer: Sie schreiben eine Software einmal, und dann läuft sie - theoretisch - ohne viel Anpassung unter Windows, Mac und Linux. Möglich macht das die sogenannte Java-Laufzeitumgebung, eine auf vielen Computern standardmäßig installierte Erweiterung. Hersteller Oracle gibt an, dass 1,1 Milliarden Desktop-Computer weltweit Java nutzen.

Umso schwerer wiegt die nun von Oracle veröffentlichte Warnung: Java-Nutzern wird geraten, ein in der Nacht zum Freitag veröffentlichtes Java-Update zu installieren. Betroffen sein dürften viele der 1,1 Milliarden Java-Desktops, denn die Sicherheitslücke ist sowohl in Java 7 als auch in der Vor-Version 6 zu finden.

Kriminelle nutzen die Sicherheitlücke bereits für Angriffe

Vier Sicherheitslücken sollen die nun veröffentlichte Aktualisierung schließen. Drei der Lücken bewertet Oracle mit der höchsten Gefährlichkeitsstufe. Eine der nun gestopften Sicherheitslücken sei für Netzwerkangriffe "leicht" auszunutzen, heißt es in der Oracle-Warnung.

Ein erfolgreicher Angriff könnte dazu führen, dass Unbekannte die Kontrolle über das Betriebssystem erlangen, Programme installieren und diese ausführen können, wie sie wollen. Da bei vielen Browsern ein Java-Plugin installiert ist, sind Angriffe über speziell präparierte Websites denkbar.

Die Java-Sicherheitslücke wird laut Bundesamt für Sicherheit in der Informationstechnik (BSI) schon jetzt ausgenutzt. Das BSI warnt, dass in Deutschland bereits manipulierte Werbebanner auf Onlineangeboten aufgetaucht seien, die zur Infektion von Rechnern genutzt werden. Laut BSI wird bei den manipulierten Bannern die Java-Lücke beispielsweise genutzt, um die Banking-Trojaner "Citadel" und "Hermes" auf Rechnern zu installieren.

So aktualisieren Sie Java

Ob man die aktuellste Java-Version installiert hat, kann man auf Oracles Java-Hilfsseite überprüfen.

Wird eine veraltete Version entdeckt, wird automatisch ein passender Download der aktuellsten Version angeboten. Eine Übersicht aller Java-Versionen zum manuellen Download bietet Oracle auf dieser Website.

Dem Autor auf Facebook folgen

lis

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
Auf anderen Social Networks teilen
  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
Forum
Diskutieren Sie über diesen Artikel
insgesamt 48 Beiträge
Alle Kommentare öffnen
    Seite 1    
1.
LeBigMacke 31.08.2012
Deshalb habe ich schon seit langem Javascript standartmäßig deaktiviert und aktiviere es manuell, wenn ich mir einigermaßen sicher bin, dass die Inhalte einer Website vertrauenswürdig sind.
Zitat von sysopJava-Hersteller Oracle hat ein schweres Sicherheitsproblem zugegeben. Allein in Deutschland sind zig Millionen Rechner betroffen, Kriminelle nutzen die Lücken bereits für Angriffe über manipulierte Websites. Nutzer sollten umgehend die Software aktualisieren. Java: Oracle warnt vor schweren Sicherheitslücken - SPIEGEL ONLINE (http://www.spiegel.de/netzwelt/web/0,1518,853092,00.html)
Deshalb habe ich schon seit langem Javascript standartmäßig deaktiviert und aktiviere es manuell, wenn ich mir einigermaßen sicher bin, dass die Inhalte einer Website vertrauenswürdig sind.
2.
sk2212 31.08.2012
Warum wird hier bitte mit keiner Silbe erwähnt, dass so ein Browser-Java-Plugin immer noch MANUELL vom Benutzer ausgeführt werde muss. Besagte Werbebanner können nicht einfach Java-Code ausführen, ohne dass der Benutzer auf [...]
Warum wird hier bitte mit keiner Silbe erwähnt, dass so ein Browser-Java-Plugin immer noch MANUELL vom Benutzer ausgeführt werde muss. Besagte Werbebanner können nicht einfach Java-Code ausführen, ohne dass der Benutzer auf "Plugin ausführen" geklickt hat.
3.
brazzy 31.08.2012
Nur dass Java und Javascript ungefähr so viel miteinander zu tun haben wie Rot und Brot.
Zitat von LeBigMackeDeshalb habe ich schon seit langem Javascript standartmäßig deaktiviert und aktiviere es manuell, wenn ich mir einigermaßen sicher bin, dass die Inhalte einer Website vertrauenswürdig sind.
Nur dass Java und Javascript ungefähr so viel miteinander zu tun haben wie Rot und Brot.
4.
brazzy 31.08.2012
Weil das für die Standardkonfiguration der meisten Benutzer nicht schlimmt - da ist das Plugin aktiviert und führt alle Applets automatisch aus. Was aber wirklich erwähnt werden müsste: Java-Applets benutzt praktisch niemand [...]
Zitat von sk2212Warum wird hier bitte mit keiner Silbe erwähnt, dass so ein Browser-Java-Plugin immer noch MANUELL vom Benutzer ausgeführt werde muss. Besagte Werbebanner können nicht einfach Java-Code ausführen, ohne dass der Benutzer auf "Plugin ausführen" geklickt hat.
Weil das für die Standardkonfiguration der meisten Benutzer nicht schlimmt - da ist das Plugin aktiviert und führt alle Applets automatisch aus. Was aber wirklich erwähnt werden müsste: Java-Applets benutzt praktisch niemand mehr - man holt sich mit dem Plugin immere neue Sicherheitslücken ins Haus ohne davon irgend einen Nutzen zu haben. Am sinnvollsten ist es, das Plugin einfach aus dem Browser zu entfernen (Die Java-Laufzeitumgebung selbst kann man behalten).
5.
jsuelwald 31.08.2012
@LeBigMacke Die Lücke betrifft Java und nicht JavaScript (das wird z.B. in http://www.webmaster-eye.de/JavaScript-versus-Java-Der-Unterschied.359.artikel.html erklärt) Zu dem eigentlichen Problem: 1. Klar, sowas passiert 2. [...]
@LeBigMacke Die Lücke betrifft Java und nicht JavaScript (das wird z.B. in http://www.webmaster-eye.de/JavaScript-versus-Java-Der-Unterschied.359.artikel.html erklärt) Zu dem eigentlichen Problem: 1. Klar, sowas passiert 2. Updates müssen aber schneller passieren 3. Und "1x im Monat auf Updates prüfen", so wie es im Java Updater voreingestellt ist, reicht nicht. Das muss täglich sein.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt Twitter | RSS
alles aus der Rubrik Web RSS
alles zum Thema Browser RSS

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Freitag, 31.08.2012 – 09:40 Uhr
  • Drucken Versenden Feedback
  • Kommentieren | 48 Kommentare
Alle Themenseiten
Schad- und Spähsoftware
Klicken Sie auf die Stichworte, um mehr zu erfahren
Trojaner
Virus
Rootkit
Wurm
Drive-by
Botnetz
Fakeware, Ransomware
Zero-Day-Exploits
Risiko Nummer eins: Nutzer
DDoS-Attacken

Mehr im Internet
SPIEGEL ONLINE ist nicht verantwortlich
für die Inhalte externer Internetseiten.





MEHR AUS DEM RESSORT NETZWELT

Übersicht Netzwelt
TOP



TOP