1589038

Apple, Oracle, Java und die Sicherheit

26.09.2012 | 17:25 Uhr |

Seit OS X Mountain Lion erhält man auf dem Mac die Grundlage für Java-Programme von Oracle. Die Sicherheit ist dadurch nicht besser geworden, deshalb empfehlen wir: Abschalten!

Die wichtigste Information für Java auf dem Mac ist: Wer es nicht braucht, sollte es abschalten (zumindest im Browser). In Safari ist das schnell erledigt: Man klickt auf "Safari > Einstellungen > Sicherheit" und deaktiviert die Option "Java aktivieren" - sprich: dort darf kein blaues Häkchen stehen.

In den Einstellungen von Safari deaktiviert man das Java-Plugin mit einem Klick
Vergrößern In den Einstellungen von Safari deaktiviert man das Java-Plugin mit einem Klick

Beim Browser Firefox dagegen muss man sich schon etwas mehr ins Zeug legen, um Java auszuschalten. Einen expliziten Schalter gibt es nicht. Doch im Menü "Extras" gibt es den Unterpunkt "Add-ons". Wählt man diesen Punkt aus, öffnet sich ein neues Fenster mit blaugrauem Hintergrund. Links sieht man in einer Liste die Kategorien der "Add-ons": Klickt man einmal auf "Plugins", wird rechts daneben eine Liste von Browser-Erweiterungen oder "Plugins" sichtbar. Gibt es dort einen Eintrag "Java Applet Plug-in", klickt man auf den Knopf "Deaktivieren" und startet Firefox neu. Fehlt dieser Eintrag, ist man mit Firefox in Sachen Java auf der sicheren Seite - ohne Plug-in lassen sich in Firefox keine Java-Applets starten.

Im Browser Firefox (hier Version 15) muss man in den Add-ons das Plug-in Java deaktivieren.
Vergrößern Im Browser Firefox (hier Version 15) muss man in den Add-ons das Plug-in Java deaktivieren.

Der Grund für die Empfehlung zum Abschalten

Hintergrund unserer Empfehlung ist eine erneute Warnung (Stand: 26. September 2012) vor einer Sicherheitslücke in Java: Bereits Ende August 2012 hatte die polnische Firma Security Explorations gewarnt, dass mit der aktuellsten Version 7 Update 7 (oder kurz: 7u7) von Java zwar einige Sicherheitsprobleme behoben seien, doch dass man inzwischen auch in dieser Version eine Methode gefunden hätte, um die Sandbox von Java zu umgehen.

Im Klartext: Wer Java im Browser aktiviert (auch Version 7u7), läuft Gefahr, dass beim Aufruf eines Java-Applets im Browser heimlich zusätzlich Software aus dem Internet geladen und auf dem Mac installiert wird. Die genauen Details des Sicherheitsproblems wollte Security Explorations im Moment zwar nur Oracle nennen, doch da die Firma bereits früher mit detailreichen Java-Kenntnissen von sich reden gemacht hat, gehen wir im Moment davon aus, dass die Warnung berechtigt ist. Da die Sandbox unter Windows und OS X gleich aufgebaut ist, gilt die Java-Abschalt-Empfehlung bis auf weiteres für alle Betriebssysteme.

Unruhige Zeiten für Java auf dem Mac

Speziell unter dem aktuellen Mac-Betriebssystem wird sichtbar, dass die Programmiersprache Java auf dem Mac nicht mehr optimal integriert ist. Unter OS X Mountain Lion sieht man (falls Java installiert ist) in den Systemeinstellungen ganz unten das Symbol "Java". Ein Klick darauf startet aber ein zusätzliches Programm, in dem man dann (mehr oder minder gut) die Java-Umgebung einstellen kann.

Ab OS X Mountain Lion muss man die Konfiguration von Java (falls installiert) in den Systemeinstellungen starten.
Vergrößern Ab OS X Mountain Lion muss man die Konfiguration von Java (falls installiert) in den Systemeinstellungen starten.

Diese Notlösung mit dem Umweg über die Systemeinstellungen ist die Folge eines Stabwechsels: Bis OS X Lion ist Apple der Lieferant für die Java-Software auf dem Mac. Alle Updates wurden (und werden teilweise noch immer) über die Software-Aktualisierung des Betriebssystems ausgeliefert.

Das Dienstprogramm Java Einstellungen ist bis OS X Lion die Einstellzentrale für Java (aber nicht mehr in OS X Mountain Lion)
Vergrößern Das Dienstprogramm Java Einstellungen ist bis OS X Lion die Einstellzentrale für Java (aber nicht mehr in OS X Mountain Lion)

Mit OS X Mountain Lion hat Oracle (der aktuelle Patentinhaber für die Programmiersprache Java) diese Arbeit übernommen. Für die Neuinstallation und die Überprüfung der installierten Version muss man die Software über die Internetseite www.java.com laden. Wenn Java bereits unter OS X Mountain Lion installiert ist, kann man Versionsprüfung und Update auch über die Systemeinstellungen und dort mit einem Klick auf das Symbol "Java" starten.

Auf der Internetseite www.java.com findet sich im Kleingedruckten die Seite "Habe ich Java installiert", die die Installation von Java auch auf dem Mac prüfen kann.
Vergrößern Auf der Internetseite www.java.com findet sich im Kleingedruckten die Seite "Habe ich Java installiert", die die Installation von Java auch auf dem Mac prüfen kann.

Java-Applets werden weniger

Citrix (ein Softwarehersteller und Dienstleister für Firmen) war lange Jahre ein reger Anbieter von Java-Applets, die auf dem Mac unter anderem bei der Terminal-Emulation Citrix ICA und bei der Webmeeting-Software Citrix Gotomeeting genutzt wurden. Während für Citrix ICA schon seit längerem passende Mac-Client-Software erhältlich ist, liegt der Wechsel bei Gotomeeting noch nicht lange zurück. Dennoch lassen sich beide Unternehmensdienste jetzt ohne Java im Browser beziehungsweise mit der (kostenlosen) Client-Software von Citrix nutzen.

Das einzige (uns bekannte) weiter verbreitete Java-Applet ist in Deutschland momentan die Software von Elster Online, einem Angebot der deutschen Finanzämter, mit dem zum Beispiel Selbstständige die Umsatz-Voranmeldung erledigen können. Wer Elster Online ( www.elsteronline.de ) weiter nutzen will, sollte deshalb gezielt dafür Java im Browser aktivieren und danach - wie eingangs beschrieben - wieder ausschalten.

Update (27.09.2012) Tippfehler im Datum von 26. November 2012 auf 26. September 2012 korrigiert -wm-

0 Kommentare zu diesem Artikel
1589038