Firefox: Mozilla rechtfertigt sich für geblockte alte Java-Versionen
Mozilla hat sich aufgrund laufender Angriffe vor einigen Tagen dazu entschieden, ältere Versionen der Java-Laufzeitumgebung zu sperren. Bei Mozilla gingen daraufhin viele Beschwerden ein. Jetzt hat sich Mozillas Sicherheitsexperte Christian Holler dazu geäußert.
Laut Holler gab es auch Beschwerden von Firmen und Organisationen, deren Werkzeuge veraltete Java-Versionen benötigten. In einigen Fällen sei aber ein Mozilla-Bug schuld gewesen. Unabhängig davon hätten aber einige Nutzer die Gefahr durch veraltetes Java unterschätzt, und das, obwohl schon lange bekannt sei, dass Java für Angreifer ein attraktives Ziel ist .
Zu den Sicherheitslücken in Java gehöre auch eine als CVE-2012-0507 katalogisierte. Keine sechs Wochen, nachdem Oracle den Fehler beseitigt habe, sei Schadcode aufgetaucht, der Internetnutzern per Java den Zeus-Bot installiert habe. Aber offenbar hätten viele Java-Nutzer die Zeit nicht genutzt, um das kritische Sicherheitsupdate zu machen. Selbst Apple habe es nicht für nötig gehalten, die drohende Gefahr zu beseitigen. Erst vor ein paar Tagen hatte Apple eine aktuelle Version der selbstgepflegten Java-Version veröffentlicht – ohne Berücksichtigung von Altsystemen.
Anwender unterschätzen die Gefahr
"Ich werde ohnehin nicht angegriffen" ist eine der klassischen Aussagen, die Holler anführt und begründet, warum so viele kein Java-Update machen. Dabei sei das Ausnutzen der Java-Sicherheitslücken kein gezielter Angriff. In Exploit-Kits habe Schadcode längst Einzug gehalten. Die Gefahr ist laut Holler sehr wohl gegeben, wenn der Nutzer das Internet benutzt.
Bei Mozilla wird der drastische Schritt, Java zu sperren, damit gerechtfertigt, dass die Balance zwischen Sicherheit und Benutzbarkeit nicht mehr gegeben gewesen sei. Zu sehr seien Sicherheitsbedenken in der Überzahl gewesen, verglichen mit den Benutzbarkeitsproblemen durch ein abgeschaltetes Java. Der Schutz der zahlreichen Anwender sei eine Priorität gewesen, ungeachtet dessen, dass Dritthersteller-Plugins sicher nicht Mozillas Aufgabe seien.
Ich habe einen Mac, ich bin geschützt
Holler sagt, solche Aussagen waren in der Vergangenheit durchaus korrekt. Allerdings habe sich das Umfeld in den letzten Jahren stark verändert. Die Plattform sei ein attraktives Ziel für Angreifer geworden. Viel zu spät sei der Patch für Apple-Maschinen gekommen, um Schlimmeres zu vermeiden. Es erwische mittlerweile über eine halbe Million Macs mit dem Flashback-Trojaner . Die Zahl wurde mittlerweile durch Kaspersky bestätigt(öffnet im neuen Fenster) . Infizierte Macs melden sich beim Command-&-Control-Server mit einer eindeutigen Hardware-ID.
Allerdings hat Apple die Gefahr von Plugins grundsätzlich durchaus erkannt. So werden neue Macs weder mit Java noch mit dem Flash Player ausgeliefert. In der PC-Welt hat sich das nicht durchgesetzt. Leider werden auch viele Neurechner mit völlig veralteten Java- und Flash-Versionen ausgeliefert, wie Golem.de immer wieder bei Testrechnern oder Neuanschaffungen feststellt. Neurechner sind also ab Werk häufig unsicher. Selbst bei Firmenrechnern von Lenovo, Dell und HP.
Mozilla intensiviert Bemühungen gegen Angriffe
Mozilla geht seit Jahren aktiv gegen Erweiterungen vor, die den Browser oder dem Nutzer schaden. In diesem Jahr gehen die Firefox-Entwickler allerdings wesentlich aggressiver vor. Eine Sperrung eines Plugins aufgrund von Sicherheitslücken hat es lange nicht mehr gegeben. Java wurde zwar im Februar 2011 schon einmal gesperrt, allerdings nicht wegen einer Sicherheitslücke, sondern wegen Abstürzen. Wer wissen will, was gesperrt wird, findet die Informationen auf der Blockliste(öffnet im neuen Fenster) .
Ältere Java-Versionen werden seit dem 2. April 2012 geblockt(öffnet im neuen Fenster) . Viele Sicherheitsexperten empfehlen mittlerweile, Oracles Java nur dann zu installieren, wenn es unbedingt gebraucht wird. Sollte Java auf dem Rechner installiert sein, sollte die Software bei Nichtbenutzung entfernt werden.