Wer die aktuelle Java-Version nutzt, sollte diese wenn möglich deaktivieren. In der Java Runtime Environment 1.7x gibt es eine Sicherheitslücke, die für massive Angriffe genutzt werden kann. Entgegen anfänglicher Berichte ist auch Google Chrome betroffen.

In der aktuellen Version von Java klafft eine schwere Sicherheitslücke, die offenbar auch schon aktiv ausgenutzt wird, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt. Bislang sind nur gezielte Angriffe in geringem Umfang bekannt. Es sei jedoch davon auszugehen, dass die Sicherheitslücke in Kürze "massiv" für die Infektion von betroffenen Systemen eingesetzt werde, so das BSI.

Dass das grundsätzlich möglich ist, haben unter anderem die Sicherheitsexperten von Heise Security bewiesen. Sie haben anhand der öffentlich zugänglichen Informationen eine sogenannte Proof-of-Concept-Seite erstellt und sie so programmiert, dass sich bei Aufruf der Seite automatisch der Taschenrechner des Systems öffnete. Diese Anwendung wäre harmlos. Mit krimineller Energie wäre es aber auch möglich, andere Prozesse zu starten. So würde schon der Aufruf einer manipulierten Website reichen, um Schadsoftware auf den Rechner zu laden.   

Die Lücke betrifft alle Versionen von Java 7 und lässt sich über alle Browser ausnutzen. Anfangs gab es Meldungen, wonach Googles Chrome als sicher einzustufen sei, doch dies ist durch den Test von Heise Security widerlegt. Auch auf Macs lässt sich die Lücke ausnutzen, schreibt ZDNet. Bei Mac OS X 10.6 Snow Leopard und früheren Versionen wurde Java automatisch mit ausgeliefert, beim aktuellen Betriebssystem OS X 10.7 kann es vom Nutzer installiert werden.

Oracle hat noch nicht gesagt, wann ein Patch für Java veröffentlicht wird. Reguläre Updates bringt Oracle nur alle vier Monate heraus, das nächste Mal wäre es am 16. Oktober so weit. Das BSI rät, zunächst zu prüfen, ob die Java-Laufzeitumgebung für die Arbeit am Rechner überhaupt gebraucht wird. Wer auf Java verzichten kann, sollte dies tun. Ansonsten lassen sich auch die Browser-Plug-Ins für das Surfen im Internet deaktivieren und nur gezielt für einzelne Anwendungen wieder aktivieren. Lokale Anwendungen starteten auch mit deaktivierten Plug-ins wie gewohnt, so Heise.