Warum Sie Java im Browser ausschalten sollten
Eigentlich ist mit "Java ist ein potentielles Einfallstor für Angreifer, und wenn man es im Browser nicht braucht, sollte man es dort auch keinen Angriffen aussetzen" schon alles relevante gesagt. Trotzdem möchte ich das Ganze noch etwas näher erläutern.
"Schalten Sie Java im Browser aus!"
Das steht als Überschrift über einen Interview, dass Hartmut Schlosser von Jaxenter am vergangenen Montag mit mir geführt hat. Diese Aussage geht auf meine Antwort auf die Frage "Was würden Sie angesichts der aktuellen Lage allen Java-Usern raten?" zurück:
"Java im Browser ausschalten und ausgeschaltet lassen, wenn sie es nicht wirklich brauchen.
Wo im Web braucht man denn Java? Ich kenne nur eine einzige Seite, die darauf angewiesen ist: Die Online-Elster der Finanzverwaltung.
Ich persönlich brauche Java für mehrere Anwendungen auf dem Desktop, aber eigentlich nicht im Browser. Daher habe ich Java im Browser für alle Browser ausgeschaltet.
Die einzige Ausnahme ist die Online-Elster für die Abgabe der Umsatzsteuer-Voranmeldung. Dafür verwende ich ein extra dafür eingerichtetes Benutzerkonto (da die Elster auch noch Admin-Rechte braucht) und Firefox mit eingeschaltetem Java-Plugin. Damit rufe ich nur das Elster-Portal auf und sonst gar nichts."
Auch damit ist eigentlich alles gesagt. Aber trotzdem geht es noch einmal etwas weiter. Kommen wir zum ersten Grund:
Weitere Schwachstellen in Java gefunden
Die vor einer Woche behobene 0-Day-Schwachstelle ist nicht die einzige offene Lücke:
- Die Schwachstelle wurde durch Oracles Patch nicht komplett behoben,
nur eine
der zwei Komponenten des Exploits wurde korrigiert. Damit wurde nur
der aktuelle Exploit unbrauchbar gemacht, die nicht behobene
Schwachstelle kann jederzeit in Kombination mit einer weiteren
0-Day-Schwachstelle erneut ausgenutzt werden. Mir fallen dazu zwei
Vergleiche ein:
- Java ist ein Bankgebäude mit vielen Haustüren, und Oracle hat zwar das kaputte Schloss an einer der Haustüren repariert, das am Tresor im Gebäude ist aber immer noch kaputt.
- Java ist eine alte Scheune, und Oracle hat zwar den raus gebrochenen Riegel am wurmstichigen Tor gegen einen neuen ausgetauscht, das gesamte Tor bricht aber trotzdem noch fast von allein zusammen. Und der Rest des Bauwerks ist auch nicht mehr besonders stabil.
- Adam Gowdiak hat zwei neue Schwachstellen gefunden. Ich fürchte, seine Auflistung der Schwachstellen und Oracles Patches wird zu einer unendlichen Geschichte.
- Brian Krebs hat
berichtet,
dass ein Cyberkrimineller einen neuen 0-Day-Exploit für Java auf dem
Schwarzmarkt verkauft hat. An genau zwei Käufer, für den niedrigen
Preis von jeweils 5.000 US-Dollar. Entweder sind Java-Exploits nichts
mehr wert, weil alle Java im Browser ausgeschaltet haben, oder der
Exploit taugt nichts.
Ob dieser Exploit wirklich existiert und funktioniert, ist nicht bekannt. Aber sicherheitshalber würde ich in diesem Fall davon ausgehen, dass beides der Fall ist.
Die Gefahr ist also noch nicht vorbei, die Warnungen vor Java im Browser sind nach wie vor gerechtfertigt, also frei nach Peter Lustig: "Ausschalten!". Den Schalter dafür hat Oracle ja extra in die Java-Konfiguration eingebaut, also sollte man ihn auch nutzen, wenn man Java im Browser nicht braucht. Und davon gehe ich im folgenden aus.
Unsere dänischen Nachbarn haben in der Hinsicht ein Problem: Einem Kommentar im ISC Diary zu Folge wird Java für die dortige digitale ID verwendet und von vielen Websites verlangt. Einen Kommentar dazu verkneife ich mir mal, denn uns droht ähnliches, falls sich die eID-Funktion des neuen Personalausweis irgendwann durchsetzen sollte.
Falls Ihnen die aktuell drohenden Angriffe nicht Warnung genug sind, habe ich noch einen zweiten Grund für das Ausschalten des Java-Plugins im Webbrowser:
Minimieren Sie die Angriffsfläche
Erinnern Sie sich noch an Würmer wie Blaster oder Conficker? Diese und andere Schädlinge konnten sich nur verbreiten, weil eigentlich nicht benötigte Dienste bei Windows XP und seinen Vorgängern aus dem Internet zugänglich waren. Schon eine simple Firewall stoppte sie - und noch einfacher ließ sich dieser Effekt durch das Ausschalten des betroffenen Dienstes erreichen.
Aus gutem Grund hat Microsoft die Anzahl der von außen zugänglichen Dienste
seit Windows Vista drastisch reduziert, andere Systeme haben gar nicht erst
angefangen, nicht benötigtes möglichen Angriffen aus zu setzen. Das
Stichwort hier lautet "Minimierung der Angriffsfläche" - Was nicht da ist,
kann auch nicht angegriffen werden.
Warum also sollte man Java im Browser aktivieren, wenn man es sowieso nicht
braucht?
Um noch einmal einen Vergleich mit dem "Real Life" heranzuziehen: Sie schließen zu Hause doch sicher auch alle Außentüren ab, wenn Sie das Haus verlassen, oder? Ein aktiviertes Java-Plugin wäre dann eine Hintertür mit kaputten Schloss, ein unnötig aktiviertes Java-Plugin eine Tür mit kaputten Schloss neben einer Tür mit intaktem Schloss: Völlig überflüssig und gefährlich.
Darum minimieren Sie das Risiko: Schalten Sie Java im Browser aus, wenn Sie es dort nicht benötigen. Und wenn sie es benötigen, schalten Sie es nur dann ein, wenn es nötig ist. Oder verwenden Sie einen zweiten Browser mit eingeschaltetem Java-Plugin ausschließlich für die Fälle, in denen Java benötigt wird.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Kommentare zu Java, SQL Slammer und GitHub-Geheimnissen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ein unerwartetes Java-Update
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits und die Angriffe auf Apple, Microsoft und Co.
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Schwachstelle in Mac OS X erlaubte Java-Angriffe ohne Java-Plug-In
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Java im Webbrowser - Oracle reitet ein totes Pferd
Vorschau anzeigen