Oracle und seine liebe Sicherheitspolitik

Es ist mal wieder so weit, ein lange ersehnter Patchday steht bei Oracle an. Diesen Oktober werden satte 140 Sicherheitslücken in verschiedenen Produkten des Softwareherstellers geschlossen. Darunter befinden sich auszugsweise MySQL, VirtualBox, Java und mehr. Alleine in Java wurden nun 30 Lücken eliminiert, 29 davon ermöglichten das Einschleusen von Schadcode. Trotzdem bleibt Java angreifbar. Warum?

Oracles relaxte Updatepolitik

Wieso Java nach wie vor unsicher ist, lässt sich schnell erklären. Eines der größten Probleme dürften die zu langen Zeiträume beim Schließen von Sicherheitslücken sein. Ein Softwareunternehmen hat zwei Möglichkeiten, um zu reagieren:

  • Direkt nach dem Bekannt werden einer Schwachstelle reagieren und einen Patch herausbringen, oder
  • eine Festlegung treffen, dass in bestimmten Abständen (Patchdays) Sicherheitslöcher beseitigt werden.

Oracle wählt den zweiten Weg, da das Unternehmen ein breites Angebot an Software bietet und das Beheben von Fehlern einfacher und besser zu managen ist. Das ist an für sich auch kein Problem, allerdings sind die Zeiträume zwischen den Patchdays recht groß. Bei Java beispielsweise erscheinen Updates im 3-Monatszyklus. Angesichts der Sicherheitsproblematik dieser Anwendung finde ich das schon eher lasch. Notfallpatches gibt es natürlich außerhalb der Reihe.

Fehlerbehebung, aber richtig!

Vor etwas mehr als 1 1/2 Monaten sorgte Java wegen einer kritischen Sicherheitslücke für Aufsehen. Zu dieser Zeit riet man dazu, das Java-Plugin für den Webbrowser zu deaktivieren. Oracle zuckte sich zunächst gar nicht, bis die Stimmen im Internet schließlich zu laut wurden. Daraufhin brachte man dann kleinlaut einen Notfallpatch, um die Lücke zu beheben. Dabei geschah das Schlimmste, was einem Softwareriesen passieren kann, ein neues und genauso kritisches Sicherheitsloch entstand dadurch.

JavaOne 2012
JavaOne 2012 (Quelle: yuichi.sakuraba, Liz. CC BY-NC 2.0)

Oracle hat es bis zum heutigen Oktober Patchday nicht für nötig befunden, diesen schwerwiegenden Fehler zu korrigieren. Als Nutzer und IT-Mensch regt man sich logischerweise darüber auf. In meinen Tumblelog Artikeln war das mehr als überdeutlich zu lesen. Es ist verwerflich, wie Oracle mit der Sicherheit der Anwender spielt.

Java gehört gebannt

Nach dem miserablen Notfallpatch entschloss ich mich dazu Java von meinem PC zu verbannen, da ich diese Art und Weise von Oracle nicht dulden kann. Und auch mit dem Schließen von 30 Lücken bleibt Java unsicher, da eine noch offene und kritische Sicherheitslücke existiert. Diese erlaubt das Ausbrechen aus der Java-Sandbox. Oracle erklärt, dass diese und ein weiters weniger brisantes Sicherheitsloch erst am 19. Februar 2013 geschlossen werden sollen.

Aus meiner Sicht ist das nicht hinnehmbar und daher bleibt Java auch weiterhin fern von meinem PC. Oracle sollte echt an seiner Sicherheitspolitik arbeiten und schneller und besser reagieren. Ich kann Java Anwendern nur dazu raten, das Browser-Plugin zu deaktivieren und falls man auf Java verzichten kann, es gleich komplett zu deinstallieren. Wie das Plugin ausgeschaltet werden kann und ob es überhaupt aktiv ist, verrät der heisesec Browsercheck.


Avatar von reraiseace
Autor: Markus Werner (reraiseace) Twitterreraiseace, Google+reraiseace, Twittercb_werner
Ich bin Redaktionsvolontär bei der COMPUTER BILD in Hamburg, Fernstudent am Deutschen Journalistenkolleg und schreibe auf re{raise}ace privat über Webdesign und Programmierung. Seit 2015 schrieb ich auch regelmäßig für andere Medien.

0 Kommentare

Du kannst diesen Artikel nicht mehr kommentieren.