Skip to content

Anleitung: So schalten Sie Java im Browser aus

Geschrieben von Carsten Eilers am um 09:00

Java bzw. Schwachstellen darin erfreuen sich bei den Cyberkriminellen großer Beliebtheit. Wenn Sie Java im Browser nicht benötigen, sollten Sie das Plug-In deaktivieren.

Wird für eine Anwendung zwingend Java im Browser benötigt, sollte dafür ein separater Browser mit aktiviertem Java Plug-In genutzt werden, der dann ausschließlich für diese Anwendung genutzt wird.

Ist Java im Browser aktiv oder nicht?

Es gibt mehrere Webseiten, auf denen Sie prüfen können, ob Java in Ihrem Webbrowser aktiv ist oder nicht:

  • Rapid7, die Entwickler von Metasploit, haben eine Testseite veröffentlicht: isjavaexploitable.com
    Der Test ist unter Mac OS X nicht zuverlässig, trotz ausgeschaltetem Java meldet die Seite ein angreifbares System.
  • Deutlich zuverlässiger ist der Test von Zscaler.

Einen weiteren Test gibt es im Browsercheck von Heise Security. Aufgrund des kommenden Leistungsschutzrechts verzichte ich auf einen Link.

So wird Java ausgeschaltet

So deaktivieren Sie das Java-Plug-In in den verschiedenen Browsern:

  • Firefox
    "So deaktivieren Sie Java-Applets"
    1. Wählen Sie Extras > Add-ons
    2. Gehen Sie im sich öffnenden Add-ons-Fenster zum Abschnitt Plugins
    3. Wählen Sie Java aus.
    4. Klicken Sie auf Deaktivieren
    Die Firefox-Entwickler arbeiten an einer Lösung, um das Plug-In für bestimmte Seiten gezielt aktivieren zu können.
  • Google Chrome
    "Plug-ins"
    1. Rufen Sie die Plug-Ins-Seite mittels chrome://plugins/ auf ODER klicken Sie im Dialogfeld Content-Einstellungen im Bereich Plug-ins auf Einzelne Plug-ins deaktivieren
    2. Wählen Sie Java aus.
    3. Klicken Sie auf Deaktivieren
  • Internet Explorer
    Deinstallieren Sie den Internet Explorer und verwenden Sie stattdessen Firefox, Chrome oder Safari. Das geht schneller, als das Java-Plug-In zu deaktivieren.
    Falls Sie es doch mit dem Deaktivieren des Java Plug-Ins versuchen wollen, gibt es eine Anleitung beim US-CERT.
    Alternativ können Sie Java deinstallieren, auch das ist einfacher als das Plug-In im Internet Explorer lahm zu legen.
    Update 3.9.:
    Inzwischen hat Microsofts Chief Security Advisor Michael Kranawetter ebenfalls eine Anleitung zum Deaktivieren des Java Plug-Ins im Internet Explorer veröffentlicht. Die musste zwischenzeitlich nachgebessert werden, da das Deaktivieren allen Anschein nach nicht ganz so funktioniert, wie Microsoft sich das vorgestellt hat. Im Zweifelsfall ist es daher sicherer, Java komplett zu löschen oder einen anderen Browser zu verwenden, in dem sich das Java-Plug-In ausschalten lässt.
    Ende des Updates
  • Opera
    1. Rufen Sie opera:plugins auf.
    2. Deaktivieren Sie Java Deployment Toolkit und Java(TM) Platform
  • Safari
    So deaktivieren Sie das Java-Web-Plug-In in Safari
    1. Wählen Sie Safari > Einstellungen oder drücken Sie Befehlstaste und Komma (für alte Apple-User: Apfeltaste und Komma)
    2. Klicken Sie auf Sicherheit.
    3. Deaktivieren Sie die Option Java aktivieren.
    4. Schließen Sie das Einstellungen-Fenster.

Aktualisierung 14.1.2013:
Oracle hat aus aktuellen Anlass erneut darauf hingewiesen, dass bereits in Java 7 Update 10 das Ausschalten des Java-Plugins deutlich vereinfacht wurde: Im Bereich "Sicherheit" des Java Control Panel kann das Browser-Plugin durch Abwählen von "Enable Java content in the browser" ausgeschaltet werden.
Ende der Aktualisierung

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Angriffe über zwei 0-Day-Schwachstellen in Java

Vorschau anzeigen
Zur Zeit gibt es zwei 0-Day-Schwachstellen in Java, ein Exploit befindet sich bereits im Exploit-Kit "Black Hole", und Angriffe darüber wurden auch schon gemeldet. Falls Sie das Java-Plug-In ihres Browsers noch nicht deaktiviert haben, wird

Dipl.-Inform. Carsten Eilers am : Neues zu den 0-Day-Schwachstellen in Java

Vorschau anzeigen
Es gibt einige Neuigkeiten zu den 0-Day-Schwachstellen in Java. Die schlechteste zuerst: Das am 30.8. veröffentlichte Update enthält eine neue Schwachstelle Patch reisst neue Lücke auf Am Donnerstag hat Oracle vier oder f&uum

Dipl.-Inform. Carsten Eilers am : Java 0-Day-Schwachstelle nach 3 Tagen behoben

Vorschau anzeigen
Es gibt mal wieder eine 0-Day-Schwachstelle in Java. Oder besser: Es gab sie. Denn sie wurde von Oracle bereits geschlossen - nach nur 3 Tagen! Kommen wir also zu einem Drama in 4 AktenTagen: 10. Januar: Exploit "in the wild" und vielen Ex

Dipl.-Inform. Carsten Eilers am : Warum Sie Java im Browser ausschalten sollten

Vorschau anzeigen
Eigentlich ist mit "Java ist ein potentielles Einfallstor für Angreifer, und wenn man es im Browser nicht braucht, sollte man es dort auch keinen Angriffen aussetzen" schon alles relevante gesagt. Trotzdem möchte ich das Ganze noch etwas n

Dipl.-Inform. Carsten Eilers am : Schwachstelle in Mac OS X erlaubte Java-Angriffe ohne Java-Plug-In

Vorschau anzeigen
Java im Browser ist gefährlich. Darum sollte man es ausschalten, wenn man es nicht braucht. Denn was nicht aus dem Browser heraus erreichbar ist, kann auch nicht über eine Drive-by-Infektion angegriffen werden. Im Fall von Mac OS X

Dipl.-Inform. Carsten Eilers am : Neues zu Java-Versionen, Android Packages, einem Rootkit und SSL/TLS

Vorschau anzeigen
Heute gibt es Kommentare und Hinweise zu installierten Java-Versionen, gefährlichen .apk-Dateien, einem übergewichtigen Rootkit und einer Info-Seite zu SSL/TLS. Java oft veraltet Wie aktuell ist eigentlich ihre Java-Version? Ist die a

Dipl.-Inform. Carsten Eilers am : Kommentare zur 0-Day-Schwachstelle in MS Office und weiterer Schadsoftware

Vorschau anzeigen
Es gibt eine interessante Neuigkeit zur 0-Day-Schwachstelle in MS Office, außerdem ein paar kommentierte Links zu Schadsoftware. Und dann habe ich noch einen Lesetipp für Sie: Auf Wired hat Moxie Marlinspike erklärt "Why ‘

Dipl.-Inform. Carsten Eilers am : Ein 0-Day-Exploit der besonderen Art für Java 6

Vorschau anzeigen
Timo Hirvonen von F-Secure hat auf Twitter gemeldet, dass ein Exploit für die Schwachstelle CVE-2013-2463 in Java 6 "in the wild" eingesetzt wird und mindestens im Neutrino Exploit-Kit enthalten ist. Patch nur für zahlende Kunde