Java wird in diesem Leben wohl nicht mehr sicher!

Angesichts der aktuellen Java Sicherheitsproblematik, muss ich natürlich auch noch mal feste in die bereits blutende Wunde reindrücken. Oracle hatte vergangene Woche einen Patch herausgebracht, um eine kritische Sicherheitslücke in Java SE 7 Desktop zu beseitigen. Kurz darauf tauchte angeblich ein Exploit auf, der unter Hackern für ca. 5.000 USD vertrieben wird. Was da genau dran ist, ist nicht ganz sicher. Bestätigt wurde nur, dass nach wie vor mindestens zwei weitere Löcher vorhanden sind. Oracle hat bis jetzt nicht darauf reagiert und die Schwachstellen sind weiterhin offen und anfällig für Angriffe.

Staatliche Organisationen und Browserentwickler reagieren

Das BSI und auch das US-CERT (Abteilung des US Heimatschutzministeriums) raten vor und nach dem Patch dazu, Java am besten gleich vollständig zu deinstallieren. Beide Organisationen sehen in diesem Programm offenbar eine sehr hohe Gefahr für die Bürger Deutschlands und Amerikas. Browserentwickler, wie Mozilla und Apple haben auf eine etwas andere Art und Weise reagiert. Sie blockieren lediglich die Browser-Plugins und das ohne Zutun des Nutzers. Vor etwas weniger als einem Jahr wurden im Firefox veraltete Java-Plugins deaktiviert, um die User zu einer Aktualisierung zu bewegen.

ORACLE RC44 Fleet Racing (Quelle: Port of San Diego, Liz. CC BY 2.0)
ORACLE RC44 Fleet Racing (Quelle: Port of San Diego, Liz. CC BY 2.0)

An dieser Stelle muss ich Oracle wirklich eine sehr schlampige Updatepolitik unterstellen. Im Oktober vergangenen Jahres prangerte ich dieses Vorgehen bereits an und geändert hat sich natürlich nichts. Für Januar wurden über 100 Produkte von Oracle gepatcht, aber Java war nicht darunter. Immerhin gab es einen Notfall-Patch, der diese eine Lücke vielleicht geschlossen hat. Das letzte außerplanmäßige Update, um ebenfalls eine Schwachstelle zu eliminieren, führte dazu, dass nach der Aktualisierung die Lücke zwar beseitigt wurde, aber eine genauso gefährliche wiederum offen war. Es ist quasi wie ein Tropfen auf einen heißen Stein.

Java ist ein Koffer mit offenem Boden

Java ist unsicher und anfällig für Sicherheitslücken. Dieses Problem besteht nicht erst seit gestern oder vorvorgestern, sondern ist eher eine Entwicklung, die sich über Jahre hin abgezeichnet hat. Oracle müsste daher auch mehr tun, als nur mal den ein oder anderen Notfall-Patch veröffentlichen und allgemeine Updates alle 4 Monate. Das ist bei Java eindeutig zu wenig. Um diese Anwendung wirklich sicherer machen zu wollen, muss akribisch und stetig daran gearbeitet und sicherlich im Code sehr vieles umstrukturiert bzw. vollkommen neu geschrieben werden.

Java olive/skunk tree (Quelle: Joel Abroad, Liz. CC BY-NC-SA 2.0)
Java olive/skunk tree (Quelle: Joel Abroad, Liz. CC BY-NC-SA 2.0)

Andernfalls wird Java immer unsicher bleiben und noch mehr Löcher haben als ein Schweizer Käse. Nur schmeckt dieses Milcherzeugnis sicherlich nicht so gut wie das Original. Leider habe ich die Befürchtung, dass der Zug in Richtung Java bereits lange abgefahren ist und selbst ein Flugzeug vom ausbrechenden Vulkan erfasst wird. Ums kurz zu machen, Oracle wird und kann daran nichts mehr ändern wollen. Eigentlich müsste man Java zu Grabe tragen, aber es wird immer noch gebraucht, da es plattformübergreifend Programme ausführen kann.

Gib Java Fersengeld, wenn du es nicht brauchst!

Ich rate jedem PC-Nutzer dazu auf Java zu verzichten, wenn es nicht gebraucht wird. Kann nicht darauf verzichtet werden, dann sollte man wenigstens dazu übergehen und das Browser-Plugin deaktivieren. Das verhindert immerhin, dass ein Java-Applet im Browser ohne Zustimmung des Anwenders ausgeführt wird. Die meisten Menschen brauchen die Java-Umgebung an und für sich auch nicht, denn es gibt nur sehr wenige Anwendungen auf dem Computer die wirklich aktiv darauf setzen. Beim Adobe Flash Player schaut es da schon ganz anders aus. Auf Twitter hat ein User die folgende vortreffliche Aussage getroffen:

Java makes Flash look relevant and secure.
John Gruber (@gruber) Januar 16, 2013

Heißt auf Deutsch so viel wie:

Java lässt Flash relevant und sicher aussehen.

John Gruber möchte damit unterschwellig andeuten, das beide Applikationen große Sicherheitsschwachstellen aufweisen, aber die von Java so stark überwiegen, das Flash dagegen sicher wirkt. Darüber sollte man mal eingehender nachdenken!


Avatar von reraiseace
Autor: Markus Werner (reraiseace) Twitterreraiseace, Google+reraiseace, Twittercb_werner
Ich bin Redaktionsvolontär bei der COMPUTER BILD in Hamburg, Fernstudent am Deutschen Journalistenkolleg und schreibe auf re{raise}ace privat über Webdesign und Programmierung. Seit 2015 schrieb ich auch regelmäßig für andere Medien.

0 Kommentare

Du kannst diesen Artikel nicht mehr kommentieren.