Lade Daten...
17.01.2013
Schrift:
-
+

Computersicherheit

Experten finden Hinweise auf neue Java-Lücke

REUTERS

Oracle-Logo: Die Java-Technik erweist sich immer wieder als anfällig

Ist das eine Leck gestopft, platzt schon das nächste auf. Kaum hat Oracle seine Java-Software mit einem Patch abgedichtet, tauchen im Netz Hinweise auf eine neue Schwachstelle auf. Sicherheitsexperten kritisieren, Oracles Update sei nicht vollständig.

Eben erst hat der Software-Hersteller Oracle hat eine schwere Sicherheitslücke in seiner Java-Software geschlossen, da macht bereits die Meldung vom nächsten Leck die Runde. Wie der IT-Journalist Brian Krebs auf seinem Blog "Krebs on Security" berichtet, soll in einem Untergrundforum ein unbekannter Gauner eine neue Sicherheitslücke zu Preisen ab 5000 Dollar angeboten haben. Es handele sich dabei um eine Schwachstelle in Java 7, die mit dem jüngsten Oracle-Patch nicht behoben worden sei.

Krebs bezeichnet das Angebot als eine "waffenfähige Version". Der Anbieter liefere damit ein Programm zum Ausnutzen der Lücke und die Grundlagen, um die Lücke für andere Angriffsarten zu verwenden, führt "Ars Technica" aus.

Es ist daher weiter äußerste Vorsicht im Umgang mit der Java-Technik geboten. Die Meldung von Brian Krebs kommt zeitgleich mit einer Warnung der Antiviren-Spezialisten von Trend Micro, das jüngste Java-Update sichere die Software keineswegs gegen alle Arten von Angriffen ab. Der ausgelieferte Fix sei unvollständig, denn er behebe nur eine der zwei gefährlichen Sicherheitslücken im Java-Code. Schon am Montag berichtete das IT-Sicherheitsunternehmen Immunity Products, dass nur eines der zwei Java-Lecks geschlossen worden sei.

Cert, eine US-Organisation für Computersicherheit an der der Carnegie Mellon University, schloss sich diesen Einschätzungen über Oracles sogenannten 7u11-Patch an. Die Experten raten dazu, Java zu deaktivieren, wenn es in Web-Browsern nicht absolut erforderlich sei. Das gelte selbst nach dem 7u11-Update. Hier unsere Tipps zum Deaktivieren und Löschen von Java.

Auf Anfrage von "Ars Technica" zu den Berichten über die nicht behobene Java-Schwachstelle verwies Oracle zunächst auf seine ursprüngliche Sicherheitswarnung. Zum Einwand, diese Meldung stehe mit dem Berichten über neuere Probleme in keiner Verbindung, erklärte das Software-Unternehmen, es gebe keinen weiteren Kommentar ab.

Für Computernutzer gilt daher weiterhin der Rat, Java möglichst komplett vom Rechner zu deinstallieren oder zumindest im Browser (nicht zu verwechseln mit JavaScript) zu deaktivieren.

meu

Forum

Diskutieren Sie über diesen Artikel
insgesamt 13 Beiträge
1. Produkthaftung
GerhardFeder 17.01.2013
Es wird Zeit, dass endlich die Software-Hersteller in Produkthaftung genommen werden. Da sie von einem "Ewigkeitswert" ihrer Urheberschaft ausgehen, könnte und müsste das teuer werden. Das Ergebnis wäre, dass es endlich [...]
Es wird Zeit, dass endlich die Software-Hersteller in Produkthaftung genommen werden. Da sie von einem "Ewigkeitswert" ihrer Urheberschaft ausgehen, könnte und müsste das teuer werden. Das Ergebnis wäre, dass es endlich gute Software geben könnte und nicht den heute vorherrschenden Murks, der durch ständige "updates" hohe Kosten verursacht.
2. die ESF
snigger 17.01.2013
hat ein gutes argument DAGEGEN: Java ist OPEN SOURCE. die kostet "nix", darf weitergegeben und verändert werden. wäre in der realen welt mit "Deutsch" vergleichbar... ... aber hauptsache, mal gemotzt zu [...]
Zitat von GerhardFederEs wird Zeit, dass endlich die Software-Hersteller in Produkthaftung genommen werden. Da sie von einem "Ewigkeitswert" ihrer Urheberschaft ausgehen, könnte und müsste das teuer werden. Das Ergebnis wäre, dass es endlich gute Software geben könnte und nicht den heute vorherrschenden Murks, der durch ständige "updates" hohe Kosten verursacht.
hat ein gutes argument DAGEGEN: Java ist OPEN SOURCE. die kostet "nix", darf weitergegeben und verändert werden. wäre in der realen welt mit "Deutsch" vergleichbar... ... aber hauptsache, mal gemotzt zu haben....
3.
Dark Enginseer 17.01.2013
Software reift erst im Einsatz richtig, denn wenn man ALLES (bzw. alles was einem überhaupt einfällt) vorher testen würde, dann würde das Produkt nicht fertig und wäre am Ende so teuer, daß es keiner kauft. Manche Bugs [...]
Zitat von GerhardFederEs wird Zeit, dass endlich die Software-Hersteller in Produkthaftung genommen werden. Da sie von einem "Ewigkeitswert" ihrer Urheberschaft ausgehen, könnte und müsste das teuer werden. Das Ergebnis wäre, dass es endlich gute Software geben könnte und nicht den heute vorherrschenden Murks, der durch ständige "updates" hohe Kosten verursacht.
Software reift erst im Einsatz richtig, denn wenn man ALLES (bzw. alles was einem überhaupt einfällt) vorher testen würde, dann würde das Produkt nicht fertig und wäre am Ende so teuer, daß es keiner kauft. Manche Bugs werden auch gar nicht gefixed, weil sie so selten auftreten und/ oder so wenig schaden/ stören, daß es sich schlichtweg nicht lohnt.
4. Der Witz ist, das viele Web-Pages
hdudeck 17.01.2013
wie z.B. hier das Forum ohne Java nicht 100% funktionieren. Viele Pages, die ich seit dem Abschalten besucht habe, weisen darauf hin, das sie Java benoetigen. Andere funktionieren gar nicht. Wenn Oracle sich nicht bald [...]
Zitat von sysopIst das eine Leck gestopft, platzt schon das nächste auf. Kaum hat Oracle seine Java-Software mit einem Patch abgedichtet, tauchen im Netz Hinweise auf eine neue Schwachstelle auf. Sicherheitsexperten kritisieren, Oracles Update sei nicht vollständig. Sicherheitslücke in Java: Neuer Angriffscode im Umlauf - SPIEGEL ONLINE (http://www.spiegel.de/netzwelt/web/sicherheitsluecke-in-java-neuer-angriffscode-im-umlauf-a-878101.html)
wie z.B. hier das Forum ohne Java nicht 100% funktionieren. Viele Pages, die ich seit dem Abschalten besucht habe, weisen darauf hin, das sie Java benoetigen. Andere funktionieren gar nicht. Wenn Oracle sich nicht bald bewegt, kommen die in Teufels Kueche, da viele dieser Seiten Sales Pages sind und entsprechend das Volumen einbrechen wird.
5.
Konstruktor 17.01.2013
Java*Script* wird auf vielen Seiten benötigt, aber *Java* nur noch auf ganz, ganz wenigen. Java*Script* hat mit *Java* rein gar nichts zu tun – außer einem idiotisch mißverständlichen Namen. Man kann also das [...]
Zitat von hdudeckwie z.B. hier das Forum ohne Java nicht 100% funktionieren. Viele Pages, die ich seit dem Abschalten besucht habe, weisen darauf hin, das sie Java benoetigen. Andere funktionieren gar nicht. Wenn Oracle sich nicht bald bewegt, kommen die in Teufels Kueche, da viele dieser Seiten Sales Pages sind und entsprechend das Volumen einbrechen wird.
Java*Script* wird auf vielen Seiten benötigt, aber *Java* nur noch auf ganz, ganz wenigen. Java*Script* hat mit *Java* rein gar nichts zu tun – außer einem idiotisch mißverständlichen Namen. Man kann also das *Java*-Plugin im Browser ausschalten und die meisten Leute werden nie auf eine Site stoßen, bei der das wirklich einen Unterschied macht. Den separaten Schalter für Java*Script* wird man für viele Sites anlassen müssen, aber da gibt es aktuell auch keine akuten Sicherheitsprobleme. Java im Browser it so gut wie vorbei; Java*Script* wird immer wichtiger, aber das ist etwas komplett anderes und hat mit dieser Sicherheitslücke nichts zu tun.

Empfehlen

Zum Autor

  • Richard Meusers schreibt als Autor für SPIEGEL ONLINE über die Digitalisierung.

Verwandte Themen

MEHR AUF SPIEGEL ONLINE

Artikel

News verfolgen

Lassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter RSS
alles zum Thema Computersicherheit
RSS

© SPIEGEL ONLINE 2014 Alle Rechte vorbehalten