Java Schwere Sicherheitslücke betrifft Millionen Rechner

Java-Hersteller Oracle hat ein schweres Sicherheitsproblem zugegeben. Allein in Deutschland sind zig Millionen Rechner betroffen, Kriminelle nutzen die Lücken bereits für Angriffe über manipulierte Websites. Nutzer sollten umgehend die Software aktualisieren.

Angriff auf Browser (Symbolbild): Java-Lücke gefährdet Windows-Rechner
Corbis

Angriff auf Browser (Symbolbild): Java-Lücke gefährdet Windows-Rechner


Die Java-Technik ist praktisch für Programmierer: Sie schreiben eine Software einmal, und dann läuft sie - theoretisch - ohne viel Anpassung unter Windows, Mac und Linux. Möglich macht das die sogenannte Java-Laufzeitumgebung, eine auf vielen Computern standardmäßig installierte Erweiterung. Hersteller Oracle gibt an, dass 1,1 Milliarden Desktop-Computer weltweit Java nutzen.

Umso schwerer wiegt die nun von Oracle veröffentlichte Warnung: Java-Nutzern wird geraten, ein in der Nacht zum Freitag veröffentlichtes Java-Update zu installieren. Betroffen sein dürften viele der 1,1 Milliarden Java-Desktops, denn die Sicherheitslücke ist sowohl in Java 7 als auch in der Vor-Version 6 zu finden.

Kriminelle nutzen die Sicherheitlücke bereits für Angriffe

Vier Sicherheitslücken sollen die nun veröffentlichte Aktualisierung schließen. Drei der Lücken bewertet Oracle mit der höchsten Gefährlichkeitsstufe. Eine der nun gestopften Sicherheitslücken sei für Netzwerkangriffe "leicht" auszunutzen, heißt es in der Oracle-Warnung.

Ein erfolgreicher Angriff könnte dazu führen, dass Unbekannte die Kontrolle über das Betriebssystem erlangen, Programme installieren und diese ausführen können, wie sie wollen. Da bei vielen Browsern ein Java-Plugin installiert ist, sind Angriffe über speziell präparierte Websites denkbar.

Die Java-Sicherheitslücke wird laut Bundesamt für Sicherheit in der Informationstechnik (BSI) schon jetzt ausgenutzt. Das BSI warnt, dass in Deutschland bereits manipulierte Werbebanner auf Onlineangeboten aufgetaucht seien, die zur Infektion von Rechnern genutzt werden. Laut BSI wird bei den manipulierten Bannern die Java-Lücke beispielsweise genutzt, um die Banking-Trojaner "Citadel" und "Hermes" auf Rechnern zu installieren.

So aktualisieren Sie Java

Ob man die aktuellste Java-Version installiert hat, kann man auf Oracles Java-Hilfsseite überprüfen.

Wird eine veraltete Version entdeckt, wird automatisch ein passender Download der aktuellsten Version angeboten. Eine Übersicht aller Java-Versionen zum manuellen Download bietet Oracle auf dieser Website.

Der Autor auf Facebook

lis

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 48 Beiträge
Alle Kommentare öffnen
Seite 1
LeBigMacke 31.08.2012
1.
Zitat von sysopCorbisJava-Hersteller Oracle hat ein schweres Sicherheitsproblem zugegeben. Allein in Deutschland sind zig Millionen Rechner betroffen, Kriminelle nutzen die Lücken bereits für Angriffe über manipulierte Websites. Nutzer sollten umgehend die Software aktualisieren. http://www.spiegel.de/netzwelt/web/0,1518,853092,00.html
Deshalb habe ich schon seit langem Javascript standartmäßig deaktiviert und aktiviere es manuell, wenn ich mir einigermaßen sicher bin, dass die Inhalte einer Website vertrauenswürdig sind.
sk2212 31.08.2012
2.
Warum wird hier bitte mit keiner Silbe erwähnt, dass so ein Browser-Java-Plugin immer noch MANUELL vom Benutzer ausgeführt werde muss. Besagte Werbebanner können nicht einfach Java-Code ausführen, ohne dass der Benutzer auf "Plugin ausführen" geklickt hat.
brazzy 31.08.2012
3.
Zitat von LeBigMackeDeshalb habe ich schon seit langem Javascript standartmäßig deaktiviert und aktiviere es manuell, wenn ich mir einigermaßen sicher bin, dass die Inhalte einer Website vertrauenswürdig sind.
Nur dass Java und Javascript ungefähr so viel miteinander zu tun haben wie Rot und Brot.
brazzy 31.08.2012
4.
Zitat von sk2212Warum wird hier bitte mit keiner Silbe erwähnt, dass so ein Browser-Java-Plugin immer noch MANUELL vom Benutzer ausgeführt werde muss. Besagte Werbebanner können nicht einfach Java-Code ausführen, ohne dass der Benutzer auf "Plugin ausführen" geklickt hat.
Weil das für die Standardkonfiguration der meisten Benutzer nicht schlimmt - da ist das Plugin aktiviert und führt alle Applets automatisch aus. Was aber wirklich erwähnt werden müsste: Java-Applets benutzt praktisch niemand mehr - man holt sich mit dem Plugin immere neue Sicherheitslücken ins Haus ohne davon irgend einen Nutzen zu haben. Am sinnvollsten ist es, das Plugin einfach aus dem Browser zu entfernen (Die Java-Laufzeitumgebung selbst kann man behalten).
jsuelwald 31.08.2012
5.
@LeBigMacke Die Lücke betrifft Java und nicht JavaScript (das wird z.B. in http://www.webmaster-eye.de/JavaScript-versus-Java-Der-Unterschied.359.artikel.html erklärt) Zu dem eigentlichen Problem: 1. Klar, sowas passiert 2. Updates müssen aber schneller passieren 3. Und "1x im Monat auf Updates prüfen", so wie es im Java Updater voreingestellt ist, reicht nicht. Das muss täglich sein.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.