Sicherheitsrisiko Java: "Schalten Sie Java im Browser aus!"

JAXenter: Wie sollte Oracle künftig verfahren, um die Sicherheitsprobleme besser in den Griff zu bekommen?

Carsten Eilers: Oracle reagiert zu langsam – auch wenn sie diesmal sehr schnell einen
Patch veröffentlicht haben. Adam Gowdiak hat letztes Jahr eine ganze Reihe von Schwachstellen an Oracle gemeldet, die nur sehr verzögert behoben wurden.

Auch die Patches für die 0-Day-Schwachstellen aus dem Sommer 2012 waren nicht ausreichend,
und die aktuelle 0-Day-Schwachstelle ist auch auf einen der damaligen Patches zurückzuführen.

Muss ich dazu noch mehr sagen? Oracle hat das Beheben der Schwachstellen anscheinend nicht wirklich im Griff. Evtl. ist man mehr mit dem Schließen von Angriffsvektoren als mit dem tatsächlichen Beheben der
Schwachstellen beschäftigt. Zumindest drängt sich dieser Verdacht auf.

Und dann ist da noch der „Patchday“ – Schwachstellen nur einmal im Quartal zu korrigieren, ist viel zu wenig.

Oracle muss also schneller bessere Patches entwickeln und veröffentlichen. Vielleicht sollte man sich mal ein Beispiel an Microsoft und deren Security Development Lifecycle nehmen. Dass der funktioniert, haben
Windows Vista und seine Nachfolger bewiesen.

JAXenter: Was würden Sie angesichts der aktuellen Lage allen Java-Usern raten?

Carsten Eilers: Java im Browser ausschalten und ausgeschaltet lassen, wenn sie es
nicht wirklich brauchen.

Wo im Web braucht man denn Java? Ich kenne nur eine einzige Seite, die darauf angewiesen ist: Die Online-Elster der Finanzverwaltung.

Ich persönlich brauche Java für mehrere Anwendungen auf dem Desktop, aber eigentlich nicht im Browser. Daher habe ich Java im Browser für alle Browser ausgeschaltet.

Die einzige Ausnahme ist die Online-Elster für die Abgabe der Umsatzsteuer-Voranmeldung. Dafür verwende ich ein extra dafür eingerichtetes Benutzerkonto (da die Elster auch noch Admin-Rechte braucht) und Firefox mit eingeschaltetem Java-Plugin. Damit rufe ich
nur das Elster-Portal auf und sonst gar nichts.

JAXenter: Vielen Dank für diese Einschätzung!

Dipl.-Inform. Carsten Eilers ist freier Berater und Coach für IT-Sicherheit und technischen Datenschutz und Autor einer Vielzahl von Artikeln für verschiedene Magazine und Onlinemedien. Sie erreichen ihn unter www.ceilers-it.de, sein Blog finden Sie unter www.ceilers-news.de.
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.