51 neue Gründe, Java abzuschalten, falls Sie es nicht wirklich brauchen

MalwareTechnologie

Es ist mal wieder CPU-Zeit (Critical Patch Update) für Oracle-Kunden – und das ist auf die eine oder andere Weise nahezu jeder. Dieses Mal patcht Oracle Java zum ersten Mal zusammen mit seinen anderen Produkten, so dass eine stattliche Fix-Anzahl zusammen kommt. Alle der 127 Updates sind wichtig, aber Java sollte beim normalen Nutzer vor allem im Vordergrund stehen. 51 Sicherheitslücken fallen in diesen Bereich, 50 davon betreffen Java Applets oder Java WebStart, ein Plug-in, das Java im Browser ermöglicht. Was die Sache noch schlimmer macht ist die Tatsache, dass alle bis auf eine Lücke per Remote-Zugriff und ohne Authentication ausgeführt werden können. Zusätzliche Schwierigkeiten treten aufgrund der unterschiedlichen Java-Versionen auf, von denen sich manche selbständig aktivieren, manche auf das Betriebssystem verlassen und wieder andere einfach überhaupt kein Auto-Update unterstützen.

Lange Rede, kurzer Sinn – Sie sollten in Sachen Java genau überlegen, was Sie tun. Meine Ratschläge:

1) Stellen Sie zunächst fest, ob Sie bei Ihrem Browser Java installiert und aktiviert haben. Einfach http://java.com/en/download/installed.jsp besuchen und “Verify Java version” klicken. Wenn Ihr Browser Sie nun dazu auffordert, Java zu installieren, schließen Sie diesen Tab; Sie sind Java-frei! Wenn das Applet geladen wird, checken Sie Ihre Version, es sollte auf jeden Fall eine der folgenden sein:  Java 7 Update 45 (1.7.0_45), Java 6 Update 65 (1.6.0_65) oder Java 1.5.0_55.

2) Wenn Sie zudem Java installiert haben müssen, sollte es zumindest Java 7 (1.7) sein. Alle vorhergehenden Versionen werden nicht mehr offiziell unterstützt und stellen damit ein Sicherheitsrisiko dar. Wenn Java installiert ist, sollten Sie sicher sein, immer alle aktuellen Updates installiert zu haben. Windows-Nutzer können dazu das Java Control Panel öffnen, den Update-Tab anwählen und “Update now” wählen. Mac-User steht der integrierte Apple Updater zur Verfügung. Beim Linux-System treten die normalen Prozeduren für System-Updates zur Verfügung.

3) Zum Schluss noch der wichtigste Tipp. Wenn Sie Java nicht nutzen, werden Sie es los! Die Software mag hilfreich für  Applikationen sein, hat aber in Ihrem Browser nichts zu suchen. Und falls Sie sich nicht sicher sind, empfehle ich das Ausschalten. Wenn Sie dennoch über eine Seite stolpern, die Java benötigt, werden Sie darauf hingewiesen und mit entsprechenden Infos versorgt.

1 Kommentar

Aus administrativer Sicht ist diese Software eine Katastrophe. Zu viele Anwendungen setzen auf Java auf (sowohl im Browser als auch ohne diesen), verzichten kann man also nicht darauf. Es lässt sich jedoch auch nicht zentral steuern, z. B. was die Sicherheitsfunktionen angeht. Z. B. wäre es ein Vorteil, gewisse IPs und Hosts als vertrauenswürdig kennzeichnen zu können, damit hier keine Sicherheitswarnungen mehr erscheinen oder auch Zertifikate als gültig hinterlegen kann, damit der User hier keine Meldung mehr erhält. Und was mich am meisten wundert: trotz der Tatsache, dass Java mittlerweile unglaublich nervig geworden ist, was seine Warnhinweise und unnützen Fehlermeldungen angeht, ist es offenbar immer noch so offen wie eh und je. Ich habe das Gefühl, Oracle wird der Verantwortung, die es mit diesem Stück Software hat, nicht gerecht. Als Administrator bleibt man alleine zurück, eine zentrale Konfiguration via GPOs beispielsweise vermisse ich schon seit Dekaden, die deployment.properties helfen hier auch nur sehr bedingt weiter.

Reply

Leave a Reply

Your email address will not be published.