Sicherheitsforscher: Java ist weiterhin unsicher

Sicherheitsforscher stufen Oracles Java auch nach der Veröffentlichung des Patches, der eine Zero-Day-Lücke in Version 7 der Laufzeitumgebung schließt, als unsicher ein. Adam Gowdiak, CEO des polnischen Sicherheitsanbieters Security Explorations, sagte der Agentur Reuters, dass Java weiterhin mehrere kritische Anfälligkeiten enthalte, für die es noch keinen Fix gebe. Er rät Nutzern davon ab, Java wieder zu aktivieren.

Damit schließt er sich Kommentaren von Jaime Blasco, Sicherheitsexperte bei AlienVault Labs an, der Oracles Java Ende vergangener Woche scharf kritisiert hatte. „Java ist ein Durcheinander. Es ist nicht sicher. Sie müssen es abschalten.“

HD Moore, Chief Security Officer bei Rapid7, geht nicht davon aus, dass Oracle das Problem kurzfristig lösen kann. Es dauere voraussichtlich zwei Jahre, um alle Schwachstellen in Java zu beseitigen. Es sei besser anzunehmen, dass die Laufzeitumgebung grundsätzlich anfällig sei. Zudem bräuchten die meisten Anwender Java nicht auf ihren Desktop-Rechnern.

Das US-Heimatschutzministerium nimmt die Bedenken der Sicherheitsforscher offenbar sehr ernst. Es wiederholte die nach Bekanntwerden der jetzt geschlossenen Zero-Day-Lücke ausgesprochene Warnung. „Außer es ist unbedingt notwendig, Java im Webbrowser auszuführen, sollten sie es auch nach der Installation des Update 11 deaktivieren.“

Oracles am Wochenende bereitgestelltes Update stopft insgesamt zwei Löcher in Java 7. Angreifer könnten Schadcode einschleusen und die vollständige Kontrolle über ein betroffenes System übernehmen. Cyberkriminelle nutzen die Lücke bereits aus. Sophos identifizierte den Trojaner „Mal/JavaJar-B„, der sich gegen Windows, Linux und Unix richtet. Zudem sind Beispiele für den Schadcode in mehreren bekannten Exploit-Kits enthalten, etwa in „Blackhole“.

[mit Material von Nick Farrell, TechEye.net]