ACHTUNG! BSI warnt vor Java-Schwachstelle!
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer kritischen Java-Sicherheitslücke, die von Kriminellen bereits aktiv ausgenutzt wird. Einen Patch für die Lücke gibt es bislang noch nicht, so dass nur der Verzicht auf die Nutzung von Java zuverlässigen Schutz vor einer Infektion mit Schadsoftware bietet.
Am vergangenen Montag (27. August) gab das BSI über seinen Informations- und Warndienst Bürger-CERT www.buerger-cert.de die Warnung vor der kritischen Sicherheitslücke in der aktuellen Java-Version 7 heraus. Nun veröffentlichte das BSI eine weitere Pressemitteilung zu dieser Problematik. Die Lücke werde von Kriminellen bereits in großem Umfang ausgenutzt, warnt die Behörde darin. "Die Java-Sicherheitslücke wird in mehreren europäischen Ländern, darunter auch in Deutschland, mithilfe von kompromittierten Werbebannern, die auch auf seriösen Webseiten geschaltet sein können, aktiv zur Infektion von Rechnern ausgenutzt. So werden beispielsweise in Norwegen und in den Niederlanden unter Ausnutzung der Java-Sicherheitslücke Werbebanner genutzt, um die Banking-Trojaner 'Citadel' und 'Hermes' auf Systeme zu bringen und die Online-Banking-Transaktionen der Nutzer zu manipulieren," so das BSI. Auch andere Java-Applets könnten genutzt werden, um Schadsoftware darüber zu verbreiten.
Um sich zu schützen, reicht es nicht aus, fragwürdige Downloads zu meiden: das Ansurfen einer Seite, auf der ein entsprechendes Applet - womöglich über den Server eines Drittanbieters eingebunden - läuft, reicht aus. Ein Sicherheitsupdate des für Java verantwortlichen Unternehmens Oracle gibt es bislang nicht. Daher rät das BSI allen Internetnutzern zu prüfen, ob Java für die Arbeit am PC tatsächlich benötigt wird. Ist dies nicht der Fall, so sollte Java deaktiviert oder deinstalliert werden, bis ein Sicherheitsupdate vorliegt. Wird Java dringend benötigt, so sollten dennoch die Java Browser-Plug-Ins für das Surfen im Internet deaktiviert und nur zeitweise für die Durchführung einzelner Anwendungen aktiviert werden. Ähnlich äußerten sich bereits mehrere namhafte Wirtschaftsunternehmen aus der IT-Sicherheits-Branche.
Autor:Joerg Hessbrueggen aus Wesel |
Kommentare
Sie möchten kommentieren?
Sie möchten zur Diskussion beitragen? Melden Sie sich an, um Kommentare zu verfassen.