Sicherheitslücke: Mozilla blockiert Java 7 Update 7
Mozilla hat Java 7 Update 7 auf die Blocklist gesetzt. Damit wird das Oracle-Plugin automatisch bei allen Firefox-Nutzern, welche diese Version installiert haben, deaktiviert.
Alle Jahre Wochen wieder macht Java wegen diverser Sicherheitslücken auf sich aufmerksam. In diesem Fall handelt es sich bei Java 7 Update 7 zugegebenermaßen um keine aktuelle Version, diese ist Stand heute nämlich Java 7 Update 9 und hiervon nicht betroffen. Da eine in Java 7 Update 7 vorhandene kritische Sicherheitslücke aber aktiv ausgenutzt wird und es potentiellen Angreifern erlaubt, das System des Benutzers zu kompromittieren, blockiert Mozilla diese ab sofort (Windows, Mac OS X, Linux).
Vor allem aus Gründen der eigenen System-Sicherheit sollten Plugins immer auf dem neusten Stand gehalten werden. Der Plugin-Check von Mozilla hilft dabei, die wichtigsten installierten Plugins auf ihre Aktualität hin zu überprüfen. Dies funktioniert übrigens nicht nur mit Firefox, sondern auch mit anderen Browsern.
Für einen besseren Schutz lassen sich Plugins auch auf Click-to-Play schalten. Dann werden Plugins standardmäßig nicht geladen und können bei Bedarf explizit vom Benutzer aktiviert werden.
Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, mozilla.de, firefoxosdevices.org sowie sozone.de.
Adobe und Oracle sind so ziemlich die grausamsten Unternehmen im IT-Bereich, wenn es um die Sicherheit geht. Egal ob Flash Player, Reader oder Java, grundsätzlich ähnelt keine andere Software so sehr dem Schweizer Käse wie die Tools dieser beiden Firmen (und das, obwohl man bei Adobe durch Programme wie Photoshop oder Dreamweaver eigentlich ne sehr hohe Qualität gewohnt ist, naja…).
Am Liebsten würde ich Air, Flash Player, Shockwave, Reader und die Java-Updates entweder (teilweise ersatzlos) deinstallieren oder in eine Sandbox sperren, die vielen Meldungen über kritische bis sehr kritische Sicherheitslücken machen mir wirklich Sorgen. Wo es geht, werde ich das bald auch machen (Air brauche ich nicht, für PDFs gibt Open Source glücklicherweise genug Alternativen her). Nur weiß ich nicht, inwieweit ich Shockwave ersetzen/“einsperren“ kann/muss und solange Mozilla nicht Shumway fertig hat bzw. etliche Programme auch Java Runtimes voraussetzen, kann man die beiden schlimmsten Programme, den Flash Player und Java, wohl kaum nachhaltig ersetzen.
Bei Flash wird es teilweise wirklich schwierig das zu ersetzen beziehungsweise darauf zu verzichten. Aber PDF lässt sich durch Mozillas auf JavaScript basierenden PDF-Betrachter ersetzen (about:config > pdfjs.disabled > false; dürfte auch irgendwann standardmäßig aktiviert werden) und auf Java verzichte ich schon seit sehr langer Zeit komplett. Ich kenne nicht viele Seiten, welche Java zwingend benötigen, persönlich habe ich es noch nie auch nur auf einer einzigen Webseite benötigt. Mir ist klar, dass es solche Seiten gibt (ich meine, unter anderem irgendein Dienst von der Post setzt Java zwingend voraus), aber das sind glücklicherweise deutlich weniger als Flash. Meiner Meinung nach kann man es ohne Java versuchen. Man muss es ja nicht komplett deinstallieren und kann es auch einfach deaktiviert lassen, so dass es sich im Falle eines Falles schnell wieder aktivieren lässt.
Wundert mich etwas, weil auch bei Mozilla ja HTML 5, CSS 3 und zumindest JavaScript als wichtige zentrale Elemente in der weiteren Strategie gelten, sieht man ja auch vor allem bei Boot 2 Gecko ja sehr gut.
Im Web mag man auf Java dann weitgehend verzichten können, wenn es um das lokale System geht, siehts dann aber doch anders aus. Einige Programme gerade aus dem Open Source Bereich (z.B. der TV-Browser) setzen zwingend Java Runtimes voraus. Für jemandem, der wie ich sehr deutlich auf der Seite von OS steht (auch wenn ich nicht nur solche Programme verwende), ist das schon ein Hindernis. Aber da hilft wohl nur die gute alte Methode per Ausschlussverfahren: Programme durchchecken, Java-abhängige rausfinden und Alternativen suchen *seufz* Ich freu mich schon auf den Tag, an dem wir wirklich ne pluginfreie Zone sind und Sachen wie WebRTC sich vollständig durchgesetzt haben.
Das liegt letztlich an der Komplexität dessen, was die Plugin-Anwendung imstande ist zu leisten. Kompletter Interpreter/VMs wie Acrobar-Reader, Java, Flash oder ActiveX sind nicht „sicher“ zu bekommen. Irgendwas findet sich da immer! Solche Programme 100% sicher zu bekommen wäre 100% Bugfreier Software gleichzusetzen.
Ich habe das für mich so gelöst, dass ich eben Flash und Konsorten nur auf ausdrücklichen Klick hin starten lasse. Dann kann sich zumindest nichts automatisch mit dem Seiten laden einnisten.