In dieser Galerie: 3 Bilder

Bild nicht mehr verfügbar.

Experten warnen vor Java-Sicherheitslücke und raten Browser-Plugin zu deinstallieren

Foto: AP

Apple blockiert das Java-Plug-In.

Screenshot: red

Mozilla bietet einen Click-to-Play-Button für Website-Inhalte, die das Java-Plug-In erfordern.

Screenshot: Mozilla

Nachdem in Java 7 eine schwere Sicherheitslücke entdeckt wurde, die bereits aktiv ausgenutzt wird, rät das U.S. Department of Homeland Security zur Deaktivierung des Browser-Plugins. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Java bis zur Verfügbarkeit eines Patches gar komplett zu deinstallieren. Apple und Firefox-Entwickler Mozilla haben die Plug-Ins mittlerweile von Haus aus blockiert.

Schadcode über Website einschleusbar

Wie berichtet, wurde kürzlich ein Exploit im Netz entdeckt, der eine bis dato unbekannte Lücke in Java 7 Update 10 ausnutzt. Über die Lücke lässt sich durch den Besuch einer manipulierten Website Schadcode auf einen Computer einschleusen. Dabei kann es sich auch um eine allgemein seriöse Seite handeln, die im Zuge einer Hackerattacke gekapert wurde, um Viren zu verbreiten.

Plug-In nur im Notfall aktivieren

Sofern Nutzer für ihre Arbeit Java unbedingt benötigen, rät das BSI das Browser-Plugin nur zeitweise für die Durchführung einzelner Anwendung zu aktivieren und ansonsten für normales Websurfen abzuschalten. Unter Windows kann das Plugin in der Systemsteuerung unter "Java" auf dem Reiter "Sicherheit" mit der Option "Java Content im Browser aktivieren" abgeschaltet werden. Hier muss das Häkchen weggeklickt werden.

Apple und Mozilla blockieren Plug-Ins

Mozilla hat bereits reagiert und Java 7 Update 9 und 10 sowie Java 6 Update 37 und 38 zu seiner Blockierliste hinzugefügt. Auf Seiten, die für die Anzeigen von Inhalten diese Plug-Ins benötigen, wird ein "Click to Play"-Platzhalter angezeigt. Das Plug-In kann darüber aktiviert werden, sofern es unbedingt notwendig ist.

Auch Apple blockiert das Browser-Plugin laut MacRumors auf seinen Macs. Ermöglicht wird über ein Update der Datei Xprotect.plist, die nun die Installation einer neuen, bisher nicht veröffentlichen Java-Version zum Ausführen entsprechender Inhalte verlangt.

Eigene Einstellung testen

Ob die Java-Plug-Ins auf dem eigenen Rechner aktiviert sind, kann über eine eigene Website von heise getestet werden. Mozilla bietet einen Browser-Check, mit dem überprüft werden kann, ob die Plug-Ins in Firefox auf dem aktuellsten Stand sind. Wann ein Patch veröffentlicht wird, ist noch nicht bekannt. (br, derStandard.at, 12.1.2012)