Java-Plugins auf dem Prüfstand: 94 Prozent sind veraltet
Eine aktuelle Studie zeigt erhebliche Mängel in Sachen Java-Aktualität auf. Etwa 94 Prozent aller genutzten Java-Versionen sind zu alt. Das Sicherheitsunternehmen Websense konnte sich mithilfe von mehreren Millionen Computern einen Überblick verschaffen und die Untersuchung durchführen.
Zur Zeit besonders gefährdet
Die neuerlichen Erkenntnisse gewinnen an Brisanz, da vor allem Java-Plugins von Hackern angegriffen werden. Das Bundesamt für Sicherheit und Informationstechnik (BSI) hält die Risiken für so hoch, dass empfohlen wird, Java im Browser zu deaktivieren. Für manche der Sicherheitslücken sind momentan keine angemessenen Patches existent.
Studie verdeutlicht Naivität der Benutzer
Die meisten Nutzer sind sich der Gefahren nicht bewusst. Schon mehrere Monate alte Versionen sind bedenklich, manche nutzen Versionen, die Jahre alt sind. Etwa dreiviertel der überprüften Browser sind mindestens ein halbes Jahr alt. Rund die Hälfte ist sogar älter als zwei Jahre. Hinzukommt, dass fast 79 Prozent der User eine ältere Version als Java 7 benutzen. Selbst diese muss ständig verbessert werden, für ältere Versionen stellt Oracle keine Updates mehr zur Verfügung. Dadurch steigt der Risikofaktor ständig, da immer neue Lücken angegriffen werden können.
Viele Millionen Computer untersucht
Den Ergebnissen lagen Daten von mehreren zehn Millionen PCs zugrunde. Die Sicherheitsfirma Websense trug die Daten über das ThreatSeeker Network (Basisinternetform) mithilfe der hauseigenen Software Websense ACE (Advanced Classification Engine) zusammen.
Die Ergebnisse zeigen, dass lediglich 5,5 Prozent der untersuchten Browser den höchstmöglichen Sicherheitsstandard aufwiesen, also Java SE – Java 7, Update 17 bzw. Java 6, Update 43. Alle anderen Versionen sind teilweise stark risikobehaftet. Einer der Kritikpunkte der Firma ist, dass Java gesondert aktualisiert werden muss und nicht automatisch bei der Browseraktualisierung mit erneuert wird.
Neues Update und Sicherheitslücken
Aufgrund der vermehrten Angriffe gegen Java, wurde ein zusätzlicher Patch-Tag jährlich eingeführt. Mitte April liefert Oracle das neueste Update für Java 7, es hat die Versionsnummer 1.7.17. Einige Schwachstellen sind besonders bekannt und führen bei veralteten Versionen zu Problemen:
- Java-Sicherheitslücke CVE-2013-1493 (Java 7 Update 15, Java 6 Update 41)
- Java-Sicherheitslücke CVE-2012-4681 (Java 7 Update 6, Java 6 Update 34)
Schutzmaßnahmen bei veralteten Java-Plugins
Wer absolut sicher sein möchte, sollte Java deaktivieren. Die Deaktivierung funktioniert über die Registerkarte „Sicherheit“, in der die Option „Java-Content im Browser deaktivieren“ gewählt werden kann. Alternativ dazu kann das Java-Control-Panel in der Windows-Systemsteuerung herangezogen werden.
Auf Seiten, bei denen Java zwingend notwendig ist, kann bei Firefox und Chrome jeweils automatisch angefragt werden, bevor es genutzt wird. Mit dem Browser-Plugin Quickjava kann im Firefox eine rasche Aktivierung und Deaktivierung vorgenommen werden. Wenn der Wunsch besteht, in jedem Einzelfall gefragt zu werden, ob Java genutzt werden soll oder nicht, empfiehlt sich die Installation von Enable Click to Play.
(Bild: alphaspirit – Fotolia)