BSI warnt vor hochkritischer Java-Lücke

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der Montag gemeldeten kritischen Lücke in Java; auch das US-Cert hat inzwischen ein Advisory herausgegeben. Von der Lücke betroffen sind nach derzeitigem Kenntnisstand sämtliche 7er Versionen von Java – einschließlich der derzeit aktuellen 7 Update 6. Dabei spielt es keine Rolle, unter welchem Betriebssystem und mit welchem Browser man Java nutzt.

Die Schwachstelle sorgt dafür, dass man sein System beim Besuch einer speziell präparierten Webseite mit Malware infizieren kann. Und das ist gar nicht so unwahrscheinlich: der Exploit-Code ist bereits für jedermann zugänglich im Netz verfügbar. Einen Patch gibt es bislang nicht. BSI und US-Cert empfehlen deshalb nun ebenfalls, das Java-Plug-in in den Browsern zu deaktivieren. Wie man das Plug-in abschaltet, erfährt man auf den folgenden Seiten:

• Java-Plug-in unter Firefox deaktivieren
  
• Plug-ins unter Chrome deaktivieren
  
• Java-Plug-in unter Safari deaktivieren

Unter Opera erreicht man die Plugin-Verwaltung durch die Eingabe von opera:plugins in die Adressleiste. Beim Internet Explorer ist das Deaktivieren von Java offenbar alles andere als trivial. Obwohl wir sämtliche Plug-ins von Oracle unter "Add-Ons verwalten" deaktiviert hatten, funktionierte der Java-Exploit auf unserem Testsystem weiterhin und startete den Taschenrechner. Wer den IE einsetzt, sollte Java daher besser vollständig über Systemsteuerung/Software deinstallieren. Ob man Java erfolgreich deaktiviert hat, verrät die Java-Testseite des Browserchecks.

Wer regelmäßig auf Webseiten angewiesen ist, die man ohne Java nicht vernünftig benutzen kann, sollte einen Browser einsetzen, bei dem man Plug-in-Berechtigungen per Site reglementieren kann. Das geht etwa in Chrome unter Inhaltseinstellungen oder mit der Erweiterung NoScript für Firefox. Als letzten Notbehelf kann man sich speziell für den Aufruf dieser Seiten eine Zweit-Browser mit aktivem Java einrichten.

Das Downgrade auf Java 6 ist übrigens keine sinnvolle Alternative: zum Einen kann man derzeit nicht ausschließen, dass die Schwachstelle auch in der ein oder anderen 6er Version enthalten ist. Zum Anderen klaffen in den alten Java-Versionen zahlreiche weitere Sicherheitslöcher, die in der 7er Version bereits geschlossen wurden. Oracle hat bislang weder seine Kunden vor der Schwachstelle gewarnt noch auf unsere Presseanfrage reagiert. Das nächste planmäßige Java-Update steht erst im Oktober an.

Wie der Exploit funktioniert und worin die Sicherheitslücke eigentlich besteht, erklärt der heise-Security-Artikel Vulkanausbruch auf Java – Java-0-Day unter der Lupe.

Update vom 29.08.2012, 10:20: Um Missverständnisse zu vermeiden, ist der Screenshot unserer Testseite nun direkt mit dem Browsercheck verlinkt. Auch im Text findet man nun einen entsprechenden Link. Darüber hinaus wurden die Angaben im Artikel zur Deaktivierung von Java unter Opera korrigiert. (rei)