heise Security Update-Check wegen Sicherheitslücke stillgelegt
Die aktuelle Sicherheitslücke in Java erlaubt es nicht mehr, den Online-Dienst zu nutzen, ohne seine Sicherheit zu gefährden. heise Security hat den Update-Check deshalb einstweilen abgeschaltet.
Der Update-Check von heise Security überprüft, ob die aktuell installierten Programme und Windows bekannte Sicherheitslücken aufweisen. Dazu benutzt der Online-Dienst Java – dessen Installation aber wegen einer akuten Sicherheitslücke die Sicherheit des Rechners gefährden würde. Deshalb hat sich heise Security entschieden, den Dienst bis auf weiteres still zu legen.
Bekannte Sicherheitslücken in installierten Programmen sind eine der größten Gefahren für jeden PC. Sie werden schon routinemäßig ausgenutzt, um Trojaner zu installieren, die etwa das Online-Banking ausspionieren. Mit dem Update-Check konnte man zumindest die wichtigsten und am häufigsten angegriffenen Programme einem Schnelltest unterziehen und sie über die angebotetenen Update-Links auch zügig auf den aktuellen Stand bringen. Seit Anfang der Woche ist jedoch eine hochkritische Sicherheitslücke in Java bekannt, vor der man sich derzeit nur durch das Deaktivieren von Java schützen kann. Die Lücke betrifft alle Browser mit einem Plug-in für die aktuelle Version 7 auf allen Betriebssystemen.
Der Antiviren-Hersteller F-Secure hat auch bereits passende Module für das kommerzielle Exploit-Kit Blackhole gesichtet. Ambitionierte Kriminelle können sich damit auch ohne HTML- oder Programmierkenntnisse Web-Seiten zusammenklicken, die die Rechner der Besucher mit Schadcode infizieren. Es ist also bald mit einer größeren Welle von Infektionen zu rechnen. Ein Sicherheits-Update des Herstellers, das die Lücke beseitigen würde, gibt es noch nicht – Oracle hat bislang noch nicht einmal eines angekündigt.
Da ein Betrieb des Online-Dienstes mit Java somit zwangsläufig akute Gefahr für seine Nutzer bedeutet, gab es nur eine mögliche Konsequenz: den Update-Check zumindest vorerst einzustellen. Als Alternative kann man den kostenlosen Personal Software Inspector (PSI) verwenden. Er wird lokal auf dem System installiert, erkennt noch deutlich mehr Programme und hilft auch dabei, den Rechner dauerhaft auf dem aktuellen Stand zu halten.
Weitere Informationen:
- BSI warnt vor hochkritischer Java-Lücke, News-Meldung von heise Security
- Vulkanausbruch auf Java - 0-Day-Exploit unter der Lupe, Analyse des Exploits
- Java-Testseite des Browserchecks mit Informationen zum Deaktivieren von Javva
(ju)
