Neue Java-Schutzfunktion bereits ausgehebelt

Sicherheitsforscher Adam Gowdiak weist darauf hin, dass die von Oracle gerade erst eingeführte neue Sicherheitsmaßnahme für das Java-Browser-Plugin bereits umgangen werden kann. So hatte Oracle mit dem letzten Java-Update die Sicherheitseinstellungen für im Browser ausgeführte Applets von "Medium" auf "Hoch" gesetzt, wodurch das Ausführen unsignierter Applets nun an eine Bestätigung durch den Nutzer gekoppelt ist. Dies sollte verhindern, dass Applets einfach geladen werden.

Laut Godwiak sei die Veränderung der Sicherheitseinstellungen rund um die Applets schlicht nicht wirksam. Zum Beweis hat er bereits ein Proof-of-Concept-Applet erstellt, das jede Sicherheitseinstellung umgehen kann. Dieser Exploit könnte seiner Meinung nach letztlich nur dadurch verhindert werden, dass die "Click to Play"-Funktion für Plugins von Chrome und Firefox aktiviert wird. Gerade in Verbindung mit den Lücken, die Gowdiak in den letzten Monaten im Java-Plugin entdeckt hat, sei dieses erneute Versagen gefährlich.

Kriminellen spiele außerdem in die Karten, dass Oracles Update-Praxis für viele Nutzer ein Ärgernis ist. Zum Einen prüft Java sehr unregelmäßig ob es Updates gibt und Nutzer müssen selbst aktiv werden. Zum Anderen geht mit der Installation eines Updates zumeist die Installation von nicht gewollter Software von Drittanbietern einher, wie beispielsweise der "Ask Toolbar". Besonders undurchsichtig ist, dass die Toolbar mit einer leichten Verzögerung von knapp zehn Minuten zum Java-Update installiert wird. Manche Nutzer gehen gerade aus diesem Grund Updates aus dem Weg selbst wenn diese kritische Sicherheitslücken schließen.

Es empfiehlt sich nach wie vor Java im Browser zu deaktivieren. Die Versionen seit 7u10 haben dafür einen Schalter in der Systemsteuerung von Windows. Firefox, Chrome und Safari bieten Anleitungen, wie Java deaktiviert werden kann.

• Deaktivierung des Java-Plugins in Firefox
• Deaktivierung des Java-Plugins in Chrome
• Deaktivierung des Java-Plugins in Safari

(kbe)