Sollte ich Java wirklich von allen meinen Windows 7-Rechnern entfernen, auf denen MSE und Chrome laufen?
Richard (via Twitter)
Ich denke, jeder sollte Java von allen seinen PCs und Macs deinstallieren und dann sorgfältig darüber nachdenken, ob er es wieder hinzufügen muss. Wenn Sie ein typischer Heimanwender sind, können Sie wahrscheinlich darauf verzichten. Wenn Sie ein Geschäftskunde sind, haben Sie vielleicht keine andere Wahl. Viele Unternehmen haben die Sprache Java zur Entwicklung von Geschäftsanwendungen verwendet, die auf Servern laufen, und dieses „serverseitige“ Java ist sicher. Es ist das „clientseitige“ Java, das über Webbrowser-Plug-ins läuft, das nicht sicher ist.
Beachten Sie, dass Java nichts mit JavaScript zu tun hat, einer anderen Sprache, die zur Entwicklung von Websites und Anwendungen verwendet wird. JavaScript wurde ursprünglich von einem anderen Unternehmen (Netscape) unter einem anderen Namen (LiveScript) entwickelt. Der Name wurde aus Marketinggründen geändert, was den beiden beteiligten Unternehmen, von denen keines überlebte, einen schlechten Ruf einbrachte.
Java war dieses Jahr wegen einiger „Zero-Day“-Schwachstellen, die von Malware-Autoren ausgenutzt wurden, in den Nachrichten. (Zero-Day bedeutet, dass es keinen Patch für die Lücke gibt, so dass die Benutzer sich nicht durch eine Aktualisierung ihrer Software schützen können.) Dies geschah auch im vergangenen August, und The Register veröffentlichte einen Artikel mit dem Titel Disable Java NOW, users told, as 0-day exploit hits web.
In der Tat wurde Java im dritten Quartal 2010 zum wichtigsten Vehikel für Malware-Angriffe, die laut Microsofts Security Intelligence Report Volume 10 (PDF) um das 14-fache anstiegen. Die Lage spitzt sich zu, und Kaspersky, ein führendes Antiviren-Unternehmen, bezeichnete 2012 als das Jahr der Java-Schwachstellen. Es sagte: „Java-Sicherheitslücken waren für 50 % der Angriffe verantwortlich. Windows-Komponenten und Internet Explorer wurden nur bei 3 % der Vorfälle ausgenutzt. Ja, so schlimm ist es.
Ich halte Java daher für ein unnötiges Sicherheitsrisiko und habe es schon vor Jahren von unseren Heim-PCs entfernt. Es gab ein paar Dinge, die ich nicht mehr ausführen konnte, z. B. KeepVid zum Herunterladen von YouTube-Videos und einige ASDL-Geschwindigkeitstests, so dass ich Alternativen finden musste. Ich empfehle Ihnen, das Gleiche zu tun. Ohne Java zu leben ist eine viel geringere Herausforderung als ohne Adobe Flash.
Alle Programme haben Fehler und können Sicherheitslücken haben, warum also der drakonische Ansatz? Leider habe ich nicht genug Vertrauen in die Fähigkeit von Oracle, das Problem zu lösen. Oracle hat Java nicht geschrieben, sondern nur geerbt, als es das insolvente Sun Microsystems kaufte, und laut The Register: „Metasploit-Gründer HD Moore warnte, Oracle sitze immer noch auf einem Rückstand von Java-Fehlern, deren Behebung selbst ohne die Entdeckung neuer Fehler bis zu zwei Jahre dauern werde.“
Oracle ist gut darin, hochpreisige Produkte an große Unternehmen zu verkaufen, aber bei Java hat man es mit bis zu einer Milliarde nicht zahlender Verbraucher zu tun. Meines Erachtens ist die verspätete Reaktion von Oracle auf den jüngsten „wahren Feuersturm in den Medien“ nicht geeignet, um die Verbraucher zu schützen. Vielmehr scheint es darum zu gehen, seine gewinnbringenden serverseitigen und eingebetteten Java-Geschäfte zu verteidigen.
Deshalb sollten Sie damit beginnen, Java in allen Ihren Browsern zu deaktivieren. Wählen Sie beispielsweise im Internet Explorer 8 „Extras“ und dann „Add-Ons verwalten“, und geben Sie in Google Chrome chrome://plugins in die Adressleiste ein. Im Naked Security Blog von Sophos finden Sie Anleitungen für die meisten gängigen Browser.
Ich empfehle außerdem, alle anderen Java-Versionen zu deinstallieren, die Sie über die Windows-Systemsteuerung finden können. Vielleicht finden Sie drei oder vier: Meiner Erfahrung nach werden alte Java-Versionen nicht immer entfernt. Führen Sie anschließend das kostenlose Programm CCleaner aus, um alle zurückgebliebenen Bits zu entfernen. (Wenn Sie CCleaner nicht haben, laden Sie es von piriform.com herunter, nicht von einer Betrugsseite oder einer Google-Anzeige.)
Als nächstes gehen Sie auf die Website java.com und klicken Sie auf den Link „Habe ich Java?“. Die Antwort sollte nein lauten.
Java neu installieren
Wenn Sie wissen, dass Sie Java installiert haben müssen, können Sie jetzt eine saubere Installation der neuesten Version durchführen, entweder Java 6 bis Update 39 oder Java 7 Update 13. Java 6 läuft aus und wird nicht mehr aktualisiert werden. Einige Unternehmen haben es beibehalten, möglicherweise wegen des schlechten Rufs von Java 7, aber es hat die meisten der gleichen Sicherheitslücken. Mac-Benutzer müssen auf das Java 7 Update 13 für Mac OS X aktualisieren.
Wenn Sie sich nicht sicher sind, ob Sie Java benötigen, versuchen Sie, Ihren PC einige Wochen lang ohne es zu betreiben, um herauszufinden, ob Sie darauf verzichten können. Sie erhalten eine Benachrichtigung von jeder Website, die ein Java-Browser-Plug-in benötigt. Sie müssen es jedoch von java.com installieren, da sich einige Schadprogramme als Java-Update 11 ausgeben.
Installieren Sie Java nur in einem einzigen Webbrowser, und verwenden Sie diesen Browser nur für Java-Sites. Wenn Sie zum Beispiel normalerweise mit IE oder Chrome im Internet surfen, installieren Sie das Java-Plug-in in Firefox oder Opera oder umgekehrt. Java wird angegriffen, und die Beschränkung auf einen Browser minimiert die „Angriffsfläche“.
Außerdem sollten Sie bei der Installation oder Aktualisierung von Java vorsichtig sein. Oracle könnte versuchen, andere Software zu installieren, die Sie auf keinen Fall haben wollen, wie z.B. die Ask-Toolbar. Ed Bott von ZDNet und Ben Edelman von der Harvard Business School haben das Problem in A close look at how Oracle installs deceptive software with Java updates analysiert. Lassen Sie sich nicht erwischen.
Java auf Macs
Java ist ein plattformübergreifendes System, so dass die gleichen Schwachstellen auch auf anderen Betriebssystemen als Windows vorhanden sein können. Auch Apple-Benutzer waren schon betroffen. Im Jahr 2010 gab es zum Beispiel eine Mac OS X-Version des Koobface-Wurms. Letztes Jahr führte der Mac Flashback Trojaner dazu, dass mehr als 600.000 infizierte Macs zu einem Botnetz hinzugefügt wurden, darunter 274 in Apples Heimatstadt Cupertino.
Apple hat Java nicht mehr standardmäßig in OS X 10.7 (Lion) integriert und hat gerade seine XProtect Software verwendet, um aktuelle Versionen von Java zu blockieren, bis sie gepatcht wurden. Damit wurde Java als Malware behandelt. Dies schützte die Kunden, aber nicht jeder war darüber erfreut. Nachdem MacWorld UK über die Geschichte berichtet hatte (Apple verbannt Java von Macs, Unternehmen, die auf Java angewiesen sind, sind beraubt), witzelte Redakteurin Karen Haslam auf Twitter: „Leider sind wir eines der betroffenen Unternehmen… vielleicht will Apple nicht, dass wir an die Presse gehen!“
Das Magazin InfoWorld beschwerte sich, dass Apples Java-Sabotage ein schlechtes IT-Geschäft sei. Da Apple ein Unternehmen der Unterhaltungselektronik ist, nehme ich nicht an, dass es sich zu sehr um die Unternehmens-IT schert.
Zusätzliche Vorsichtsmaßnahmen
Ich denke, dass es jedem freistehen sollte, das Betriebssystem und die Anwendungen einzusetzen, die er möchte. Sie sollten sich jedoch darüber im Klaren sein, dass die Ausführung von Java im Browser zusätzliche Risiken birgt, und deshalb sollten Sie zusätzliche Vorsichtsmaßnahmen ergreifen.
(1) Führen Sie immer die neueste Version von Java aus und stellen Sie sicher, dass Sie alle Patches installieren. Im Moment kann das bedeuten, dass Sie jede Woche oder sogar jeden Tag nach Updates suchen müssen. Sie können dies mit dem Personal Software Inspector von Secunia tun. (Dem in Java eingebauten Updater würde ich nicht trauen.)
(2) Führen Sie zusätzliche Überprüfungen auf Malware mit einem anderen Antivirenprodukt als dem bereits installierten durch, insbesondere wenn es sich um MSE (Microsoft Security Essentials) handelt. Zwei gute kostenlose Standalone-Prüfprogramme sind Malwarebytes AntiMalware und Kaspersky Security Scan.
(3) Machen Sie täglich Backups und erstellen Sie einen Klon Ihrer Festplatte. PCs sind billig, aber Daten können unersetzlich sein.