Experten warnen

Java unsicher - Kritik an Oracle wächst

24.01.2013 | 10:23 Uhr | Panagiotis Kolokythas

Sicherheitsexperten haben Oracles Umgang mit Sicherheitsproblemen bei Java kritisiert. Immer wieder gerät Java wegen gefährlicher Sicherheitslücken in die Schlagzeilen.

Sicherheitsexperten fordern Oracle dazu auf, größere Anstrengungen zu unternehmen, um die Sicherheit von dem weltweit von vielen Millionen Nutzern verwendeten Java zu verbessern. Sicherheits-Experte Andrew Stroms von nCircle Security empfiehlt Oracle, Java komplett neu zu designen, "bevor jedermann das Vertrauen" in Java verliere und sich die Bedenken sogar auf andere Oracle-Produkte auswirken.

Oracle hatte erst vor wenigen Tagen wieder per Patch zwei gefährliche Zero-Day-Lücken in Java geschlossen , nachdem die Informationen über diese Lücken bereits vorher im Web kursierten und der Exploit-Code in gängigen Angriffsbaukästen enthalten war . Nur kurze Zeit später wurde dann bekannt, dass der Sicherheitspatch das Problem nicht komplett löst und der Patch selbst fehlerhaft war.

Die Sicherheitsexperten vom US Computer Emergency Readiness Team (US-CERT), Teil des US Department of Homeland Security, haben mit einem ungewöhnlichen Schritt auf die Java-Sicherheitsprobleme reagiert. Sogar nach Veröffentlichung des jüngsten Sicherheitsupdates für Java rieten sie öffentlich den Anwendern zur Abschaltung von Java in Browsers und verwiesen als Begründung auf eine Reihe von Sicherheitsproblemen bei Java.

Auch Adam Gowdiak, CEO von Security Explorations, hat in der Vergangenheit eine Reihe von Java-Sicherheitslücken gemeldet und kritisiert, dass die Veröffentlichung von Sicherheitsupdates "drei Mal im Jahr" die Java-Nutzer nicht wirklich in den Bereichen Sicherheit und Datenschutz schütze.

Die Empfehlung an Oracle lautet dementsprechend, dem Ansatz zu folgen, den Microsoft bereits seit einigen Jahren bei seinen Produkten folgt, nachdem Microsoft davor mit Sicherheitsproblemen zu kämpfen hatte und der damalige Microsoft-Chef Gates schließlich die Notbremse zog. Danach wurde Sicherheit mit dem "Security Development Lifecycle" (SDL) zu einem wichtigen Bestandteil des Entwicklungsprozesses. Dazu wird während der Entwicklung der Programmcode regelmäßig neu analysiert und es gibt bei der Erstellung des Programmcodes diverse Vorgaben, die dabei helfen sollen die Anzahl der potentiellen Sicherheitslücken zu reduzieren.

1671295