Computer sind mit vielen Software- und Programmierplattformen ausgestattet, von denen die meisten von uns nicht wissen, dass sie sie haben und nicht wissen, wofür sie bestimmt sind.
Eine dieser Programmierplattformen, Java, war in letzter Zeit wegen seiner Sicherheitsprobleme mit dem Apple Macintosh-Betriebssystem Mac OS X in den Nachrichten.\
MEHR: Java wurde erstmals 1995 von Sun Microsystems als eigenständige Plattform zum Erstellen und Ausführen von Tausenden von Computeranwendungen eingeführt.“Java schafft eine Umgebung, in der Code unabhängig vom Betriebssystem ausgeführt werden kann, sodass Softwareentwickler, die Code in der Programmiersprache Java schreiben, ihre Programme auf nahezu jedem Betriebssystem ausführen können, einschließlich Microsoft Windows, Apple OS X, Linux und UNIX-Varianten“, erklärte Marcus Carey, Sicherheitsforscher bei Rapid7 in Boston. „Normalerweise müssten Sie eine Anwendung pro Betriebssystem schreiben.“
Litanei des Leids
Java hat eine lange Geschichte von Sicherheitslücken, die jetzt wegen der weit verbreiteten Infektion von Macs Ende März durch die Flashback, auch Flashfake genannt, Malware-Familie.
Java wurde standardmäßig in Apples Mac OS X 10.6 Snow Leopard gebündelt und blieb bestehen, wenn ein Mac-Benutzer seinen Computer von Snow Leopard auf Mac OS X 10.7 Lion aktualisierte. (Java ist nicht in „sauberen“ Installationen von Lion gebündelt, kann aber später hinzugefügt werden.“Später in den Distributionen missbrauchten die Flashfake-Betreiber die Schwachstellen in diesen Java-Installationen und Neuinstallationen, indem sie Java-Exploits von bösartigen Websites lieferten“, sagte Kurt Baumgartner, Senior Security Researcher bei Kaspersky Lab in Moskau. „In vielen Fällen haben wir die Benutzer einfach dazu gebracht zu glauben, dass ihre Java-Web-Applets tatsächlich Java-Softwareupdates von Apple, Inc. sind.“Java ist ein beliebtes Ziel von Cyberkriminellen, weil es so einfach auszunutzen ist und weil Benutzer häufig veraltete Versionen davon verwenden.“Java-Schwachstellen werden in jedem einzelnen großen Exploit-Pack behandelt, das über unterirdische Märkte erhältlich ist, wie zum Beispiel das Blackhole Exploit Pack, Eleonore Pack und Crimepack“, sagte Catalin Cosoi von Bukarest, Rumäniens Bitdefender. „Dies macht die Java-Ausnutzung so einfach wie möglich, auch wenn der Angreifer überhaupt keine technischen Fähigkeiten besitzt.“
Patch oder deaktivieren?
Das große Problem ist, dass Java-Installationen nicht gepatcht werden, sagte Carey, was auf drei Hauptprobleme zurückzuführen ist.
Zunächst einmal sind sich Unternehmen oft nicht bewusst, welche Auswirkungen es auf die Sicherheit hat, wenn sie ihre Software nicht patchen. Zweitens, wenn Software, von der eine Organisation abhängt, mit älteren Versionen von Java geschrieben wurde, kann ein Upgrade von Java diese Software lahmlegen oder ganz deaktivieren.Drittens wissen viele Benutzer nicht, dass Webbrowser mit aktivierten Java-Plug-Ins konfiguriert sind, was sie anfällig für Drive-by-Malware-Angriffe macht, die auf ältere Java-Versionen abzielen. Dies geschieht mit Flashback. (Java sollte nicht mit JavaScript verwechselt werden, einer nicht verwandten Sprache, die zum Aktivieren von Funktionen auf Webseiten verwendet wird.)
Zu einer Zeit war Java absolut notwendig, wenn Sie Ihren Computer für fast alles verwenden wollten. Heute gibt es weniger Bedarf dafür. Eine wachsende Zahl von Sicherheitsexperten empfiehlt, Java nicht zu installieren, wenn Sie es noch nicht haben, und es vielleicht sogar loszuwerden, wenn Sie es tun.
Unter http://www.java.com/en/download/testjava.jspkönnen Sie sehen, ob in Ihrem Browser Java ausgeführt wird. Auf diese Weise können Sie überprüfen, ob in Ihrem Browser Java aktiviert ist und wenn ja, welche Plug-In-Version ausgeführt wird. Wenn Ihr Plug-In veraltet ist, können Updates kostenlos heruntergeladen und installiert werden.
Zu wissen, ob Ihr Computer Java aktiv für andere Anwendungen verwendet, ist jedoch etwas schwieriger.
„Es ist, als würde man fragen: „Welche Open-Source-Bibliotheken oder welchen Code verwenden Sie auf Ihrem System?“, sagte Baumgartner.
In Mac OS X können Sie dies überprüfen, indem Sie in Anwendungen → Dienstprogramme nach einer Anwendung mit dem Namen „Java-Einstellungen“ suchen.“ Wenn es nicht da ist, haben Sie Java nicht installiert; Wenn ja, können Sie die Anwendung öffnen und alle Optionen deaktivieren, um Java vollständig zu deaktivieren.
Gehen Sie in Windows zu Start → Einstellungen → Systemsteuerung → Java-Systemsteuerung und gehen Sie zur Registerkarte Erweitert, um Java zu deaktivieren.
Vielleicht ist der einfachste Weg, um festzustellen, ob Sie Java benötigen oder nicht, es zuerst vollständig zu deaktivieren. Wenn Sie regelmäßig eine Anwendung verwenden oder eine Website besuchen, die Java erfordert, werden Sie von Ihrem System oder der Website aufgefordert, Java zu installieren oder erneut zu aktivieren. Sie können feststellen, dass Sie es nicht brauchen und es nicht verpassen.Auf der anderen Seite, wenn Sie Anwendungen verwenden, die Java erfordern — wie Programme in der Adobe Creative Suite wie Photoshop, Illustrator oder InDesign — „verantwortungsvolle“ Verwendung von Java können Sie sie verwenden, ohne Ihren Computer zu gefährden.
Wie man mit Java lebt
Laut Cosoi gibt es zwei wichtige Regeln, die jeder Java-Benutzer befolgen sollte.
Halten Sie Java zunächst immer auf dem neuesten Stand. Wenn Sie zum Aktualisieren aufgefordert werden, installieren Sie den Patch so schnell wie möglich. Die kleinste Verzögerung kann Sie Malware aussetzen.
Zweitens, legen Sie einen Browser für Websites beiseite, die unbedingt Java benötigen, und deaktivieren Sie das Java-Plug-In in allen anderen Browsern. Verwenden Sie die anderen Browser für alles andere, zum Beispiel das Abrufen Ihrer E-Mails oder das Lesen der Nachrichten.
Auf diese Weise sind Sie wahrscheinlich geschützt, wenn Sie auf einer kompromittierten Website landen, die versucht, einen Java-Fehler auszunutzen.
Wenn Sie sich immer noch Sorgen um Sicherheit und Java machen, können Sie am einfachsten feststellen, ob Sie anfällig für Java-Drive-by-Angriffe sind Rapid7 www.IsJavaExploitable.com . Es wird Ihnen sofort sagen, ob Ihr Java auf dem neuesten Stand ist.“Es gab einige ziemlich interessante Anwendungen, die in Java entwickelt wurden“, sagte Baumgartner.
Er glaubt nicht, dass es notwendig ist, Java zu deinstallieren, um Ihren Computer sicher zu halten. Stattdessen sagte Baumgartner, wir sollten uns am besten daran erinnern, die Java-Warnungen für das Upgrade im Auge zu behalten.
„Das Aktualisieren der Software auf unseren Systemen ist eine wichtige Angewohnheit zu lernen“, sagte er.
Folgen Sie uns @tomsguide, auf Facebook und auf Google+.
- 12 Computersicherheitsfehler, die Sie wahrscheinlich machen
- Die Sicherheit Ihres Routers stinkt: So beheben Sie das Problem
- Beste mobile Passwortmanager
Aktuelle Nachrichten