Cisco 2015 Annual Security Report: Java ist sicherer geworden
2013 war kein gutes Jahr für Java, denn etliche Sicherheitslücken sorgten für verunsicherte Anwender. Gut, dass Oracle offenbar die richtigen Weichen gestellt hat, denn im vergangenen Jahr wurden deutlich weniger Lücken festgestellt.
- Alexander Neumann
Oracles Bemühungen für ein sichereres Java scheinen Früchte zu tragen. Denn in Ciscos jährlichem Security Report wird die Programmiersprache als sicherer eingestuft als noch im gleichen Bericht vor einem Jahr. So war Java 2013 noch bei 91 Prozent aller Sicherheitsattacken das Hauptangriffsziel. Im neuen Bericht, der das vergangene Jahr rekapituliert, ist Ciscos Forschungsabteilung nur noch auf 19 als kritisch eingeschätzte neue Sicherheitslücken gestoßen. 2013 waren es noch 54.
Gerade 2013 hatte Oracle einiges an schlechter Presse einstecken müssen, als Anfang des Jahres etliche Sicherheitslücken in Java aufgedeckt wurden. Das führte dazu, dass Oracle seine Marschroute zur Freigabe von Java 8 änderte und das Hauptaugenmerk erst einmal auf die Sicherheit lenkte. Neben dem Beseitigen der Lücken, der Einführung neuer Security-Features für Administratoren und Entwickler änderte Oracle auch den Release-Prozess der regelmäßigen Java-Updates. Seitdem sind die Meldungen zu einem unsicheren Java rarer gesät. Java 8 erschien mit einem halben Jahr Verzögerung Ende März 2014.
Sicherlich seien noch alte Java-Exploits auf etlichen Systemen zu finden, vermutet Martin Roesch von Cisco, doch scheint der Aufruf mehr Anwender zu erreichen, die Java Virtual Machine (JVM) regelmäßig zu aktualisieren, gegen die sich vermutlich die meisten Angriffe richten. Und da die JVM häufigere Updates erfährt, ist aller Wahrscheinlichkeit nach auch die Zahl der Java-Exploits zurückgegangen.
Während sich die Situation bei Java verbessert hat, sieht es hingegen bei Adobes Flash und PDF-Reader sowie Microsofts Internet Explorer dem Bericht zufolge ungünstig aus, da sie unverändert viele Sicherheitslücken und Exploits aufweisen. Die beiden Adobe-Produkte werden für 19 Prozent aller beobachteten Angriffe verantwortlich gemacht, Microsofts Web-Browser vereint 31 Prozent aller Attacken auf sich. Das schlechte Resultat beim Internet Explorer ist wohl darauf zurückzuführen, dass er der von seinen Anwendern am wenigsten aktualisierte Browser ist. Nur etwa 10 Prozent hätten eine aktuelle Version installiert, geht aus dem Bericht hervor. (ane)
