Ein Sicherheitsrisiko weniger Oracle dreht Java-Plug-in den Saft ab

Nach Flash und Silverlight wird nun auch das Java-Plug-in in den Ruhestand versetzt. Eine gute Idee. Denn noch immer gefährdet die Software mehrere Milliarden Computer.

Java-Webseite von 2010: Oracle nimmt das Java-Plug-in aus dem Programm

Java-Webseite von 2010: Oracle nimmt das Java-Plug-in aus dem Programm


Es hat lange gedauert. Doch nun hat sich das Softwareunternehmen Oracle endgültig dazu entschieden, das Java-Plug-in zu beerdigen. In den vergangenen Jahren ist die Browser-Software wegen ihrer Sicherheitslücken immer wieder ein Nachrichtenthema gewesen. Teilweise wies sie so viele Lücken auf, dass die Entwickler kaum noch hinterher kamen, die Schwachstellen zu kitten.

Doch nicht nur die vielen Einfallstore für Hacker haben das Java-Plug-in berühmt gemacht. Viele der Schwachstellen waren so gravierend, dass Oracle damit ständig auf der schwarzen Liste des Bundesamts für Sicherheit in der Informationstechnik (BSI) vertreten war. Viele der Sicherheitslücken haben kriminellen Hackern nicht nur einen bequemen Zugang zum Rechner gelegt, sondern waren auch ziemlich leicht auszunutzen.

Mit einem Update, das Oracle vor einigen Tagen veröffentlicht hat, werden erneut drei Java-Sicherheitslücken mit der maximalen Bedrohungsstufe geschlossen. Alle drei sind nach Angaben der Entwickler leicht zugänglich, wenn der Nutzer nicht die aktuelle Java-Version installiert hat.

Drei Milliarden Nutzer

Die Zahl der potenziellen Opfer ist gewaltig: Nach Angaben von Oracle haben mehr als drei Milliarden Nutzer das Programm auf ihrem Rechner installiert - und damit einen direkten Draht vom Internet-Browser zu ihrem Mac und Windows-PC gelegt.

Eine Einladung für Kriminelle: Um eine ordentliche Anzahl an Rechnern zu attackieren, infizieren sie Websites und Werbebanner, um ihre Schadsoftware via Java-Sicherheitslücke auf den Computern ihrer Opfer einzuschleusen.

Oracle folgt mit der Beerdigung des Java-Plug-ins einem Trend. Die meisten Browser haben neben den beiden Browser-Plug-ins Flash und Silverlight mittlerweile auch Java einen Riegel vorgeschoben - und machen Platz für modernere Multimedia-Standards wie HTML5. Mozilla hat Ende 2013 entschieden, dass der Firefox-Browser das Java-Plug-in standardmäßig blockiert und es manuell eingeschaltet werden muss. Ende des Jahres soll Java komplett ausgesperrt werden.

Auch Microsoft und Google blockieren

Google hat den Chrome-Browser im September 2015 gegen das Java-Plug-in abgeschottet. Nutzer können es seit der Version 45 auch nicht mehr manuell aktivieren. Apple hat Pläne angekündigt, Java im Safari-Browser in Zukunft nicht mehr starten zu lassen. Bereits jetzt werden die Nutzer mit Warnmeldungen mürbe gemacht, damit zumindest die jeweils aktuelle Version installiert ist. Microsoft schließt Java im neuen Windows-Browser Edge von Beginn an aus.

Das Java-Plug-in nutzen Entwickler vor allem, um Multimedia-Anwendungen durch den Browser flimmern zu lassen. Bis März vegangenen Jahres etwa lief die Browserversion des Klötzchenspiels "Minecraft" noch ausschließlich über Java. Doch auch hier hat Microsoft nachgelegt und eine Version veröffentlicht, die sich auf Windows-PC ohne Plug-in starten lässt. Auch einige Unternehmen müssen sich nun neu orientieren. Manche VPN-Programme, die genutzt werden, um über gesicherte Verbindungen auf Server im Unternehmen zuzugreifen, nutzen das Browser-Plug-in.

Nun haben die Sicherheitsexperten ihr Ziel also erreicht. Seit Jahren warnen IT-Profis vor Java und machten eine klare Ansage an die Nutzer. Um ganz sicher zu gehen, dass man sich keine Schadsoftware mit Java einfängt, empfehlen sie: Löscht dieses Plug-in! Wer also nicht warten will, bis Oracle die Schadsoftware-Schleuse geschlossen hat, der sollte die Software jetzt schon vom Rechner entfernen.

jbr

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 28 Beiträge
Alle Kommentare öffnen
Seite 1
Awesomeness 28.01.2016
1. Na endlich!
HTML5 und jQuery leisten alles was Frontends in einer vernünftiger Architektur leisten müssen. Flash, Java, Silverlight werden nicht mehr benötigt. Gerade Behörden und Unternehmen, die noch auf Uraltbrowser bestehen, müssten so langsam mal umdenken.
typomann 28.01.2016
2. Was macht dann das Finanzamt mit Elster
Meines Wissens benötigt Elster Java. Das Desaster möchte ich mir gar nicht vorstellen, die brauchen doch Jahre bis sie das umgestellt haben. Also am besten einen Browser aufbewahren auf dem Java noch läuft!
Mehrleser 28.01.2016
3.
"Seit Jahren warnen IT-Profis vor Java" Nein, sie warnen vor dem Plug-In, nicht vor der Programmiersprache. Steht auch im restlichen Artikel weitgehen korrekt.
rst2010 28.01.2016
4. die andere seite
viele admin guis basieren auf java, obwohl sich das alles perfekt in html4 und anderen offenen techniken abbilden ließe. aber nein, ständig irgendwelche java guis, die nach dem nächsten java update nicht mehr funktionieren. also: keinesfalls updaten, wenn man den security server im notfall noch über das oob bedienen will. das heißt aber auch: kein internet mehr für die admin workstation. und möglichst kein windows. silverlight und flash schenken sich hier ebenfalls nichts, proprietärer blödsinn, der das leben schwer macht - aber halt gut aussieht. zumindest das. das ist ja das wichtigste an admin guis:-(
Das Grauen 28.01.2016
5. Java ist schlecht, Apps sind sicher?
Das scheint ja die indirekt vertretene Aussage dieses Artikels zu sein. Anstelle zu versuchen, eine zentrale Programmebene zwischen System und Anwendung sicherer zu machen, müsten also Millionen von Apps daraufhin überprüft werden, ob sie nichts böses anstellen. Gleichzeitig bleibt auch die Portabilität zwischen Hardwareplattformen und Betriebsystemen auf der Strecke (siehe Hinweis auf Windows-Software!). Diese Entwicklung pauschal als positiv zu sehen, ohne jede Einschränkung, finde ich naiv. Übrigens: Wie kann ich eigentlich HTML5 im Browser abschalten? Auch das kann mir zuviel und ich möchte eigentlich nicht jeder Webseite die Ausführung erlauben. Aber abschalten lässt es sich, im Gegensatz zu Java, wohl nicht. Ein ganz klarer Rückschritt!
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.