Warum Java jetzt unter Windows, Mac und Linux ein geringeres Sicherheitsrisiko darstellt

Werbung

Java, einst ein wichtiger Bestandteil des Webs, hat in den letzten Jahren an Popularität verloren. Die meisten modernen Browser blockieren Java standardmäßig, und die meisten Heimanwender müssen es nicht mehr installieren.

Wir haben lange gehört, dass Java die unsicherste Software für Desktop-Computer ist, insbesondere für Windows. Aber stimmt das noch? Lassen Sie uns eintauchen und es herausfinden.

Die historischen Probleme mit Java

Der Hauptgrund, warum Java zu einem so beliebten Angriffsziel geworden ist, ist seine Verbreitung. Da Java auf maximale Kompatibilität ausgelegt ist, kann es auf einer Vielzahl von Geräten ausgeführt werden. Neben Computern unterstützt Java auch Blu-ray-Player, Drucker, Parkzahlungssysteme, Lotteriegeräte und vieles mehr. Es ist das Gegenteil von Sicherheit durch Dunkelheit: Eine große Plattform bietet die beste Auszahlung für einen Angriff.

Natürlich beschäftigen wir uns mit Java auf dem Desktop. Das schlimmste Vergehen ist, dass Java sich nicht automatisch selbst aktualisiert. Im Gegensatz zu den meisten anderen modernen Programmen fordert Java den Benutzer lediglich auf, Updates zu installieren, sofern diese verfügbar sind. Schlimmer noch, Java sucht standardmäßig nur einmal pro Woche oder sogar einmal im Monat nach Updates. Das ist gefährlich für eine App mit so vielen Sicherheitslücken.

Viele Benutzer sehen die Aktualisierungsaufforderung und ignorieren sie, was dazu führt, dass sie eine veraltete Version von Java ausführen. Und mit regelmäßig angebotenen neuen Versionen können selbst diejenigen, die einige Updates installieren, frustriert sein und weitere ignorieren. In einigen Fällen bleibt auch bei der Installation einer neuen Version die alte Java-Kopie installiert. Dies erweitert ihre Anfälligkeit für Angriffe.

Natürlich können wir die langjährige Saga von Java nicht vergessen die schreckliche Ask Toolbar. Jedes Mal, wenn Sie Java installiert oder aktualisiert haben, mussten Sie daran denken, ein Kontrollkästchen zu deaktivieren, da es sonst diesen Müll enthält. Dies war zwar kein Exploit, hinterließ aber einen schlechten Geschmack im Mund der Benutzer.

Java wird heute 22 Jahre alt.

Wir sollten Oracle einen Kuchen mit der Ask Toolbar schicken.

- Tim Barrett (@timbarrett) 24. Januar 2018

Modernes Java

Das war in der Vergangenheit mit Java falsch, aber was ist mit der letzten Zeit?

Im Oktober 2017 stellte Veracode fest, dass 88 Prozent der Java-Anwendungen mindestens eine anfällige Komponente enthalten. Anfang 2016 gab Oracle dies bekannt Sogar das Java-Installationsprogramm war anfällig. Wenn ein Angreifer eine DLL-Datei mit einem bestimmten Namen in Ihren Download-Ordner legt, wird beim Ausführen des Java-Installationsprogramms eine Infektion ausgelöst. Aufgrund der Beliebtheit von Java müssten Sie dies im Allgemeinen nur tun Besuchen Sie eine kompromittierte Website Das nutzte Ihre veraltete Java-Kopie, um infiziert zu werden.

Dies bedeutet zwar, dass Java alles andere als sicher ist, aber es gibt auch gute Nachrichten. Anfang 2016 Oracle kündigte an Es ist geplant, das Java-Browser-Plugin (das die Ursache der meisten Probleme darstellt) in JDK 9, das jetzt verfügbar ist, zu verwerfen. Auch moderne Browser haben Java hinter sich gelassen. Chrome hat die Unterstützung für Java eingestellt Ende 2015 und Firefox hat aufgehört, es zu unterstützen Anfang 2017. Microsoft Edge-Browser, der in Windows 10 enthalten ist, unterstützt Java überhaupt nicht.

Dies bedeutet, dass Sie sich an Internet Explorer halten müssen, wenn Sie Java wirklich in einem Browser verwenden müssen.

Die größten Sicherheitslücken

Was hat an die Stelle der unsichersten Desktop-Software getreten, da Java immer beliebter wird?

Die neuesten Daten von FlexeraAus dem ersten Quartal 2017 geht hervor, dass 7,8% der Programme auf einem durchschnittlichen PC das Ende ihrer Lebensdauer erreicht haben. Es zählt zu den zehn am stärksten gefährdeten Programmen, basierend auf dem Marktanteil multipliziert mit dem Prozentsatz der Benutzer, die nicht gepatcht sind:

1. iTunes 12.x.
2. Java 8.x.
3. VLC Media Player 2.x.
4. Adobe Reader XI 11.x.
5. Adobe Shockwave Player 12.x.
6. Malwarebytes Anti-Malware 2.x.
7. Kindle für PC 1.x.
8. Adobe Acrobat Reader DC 15.x.
9. uTorrent 3.x.
10. iCloud für Windows 6.x.

Diese Liste kann Sie überraschen. Java ist zwar nicht das riskanteste Programm, aber immer noch das zweite. Andere Programme, die wir normalerweise nicht mit Sicherheitsrisiken in Verbindung bringen, wie VLC und Malwarebytes, haben ebenfalls einen Platz. Dies zeigt, wie wichtig es ist, Ihre gesamte Software auf dem neuesten Stand zu halten, nicht nur die gängigen.

Wir können mehr sehen, indem wir untersuchen Avasts Sicherheitsbericht für das dritte Quartal 2017. Es listet die 10 veraltetesten Programme auf den PCs seiner Benutzer auf:

1. Java 6, 7 und 8
2. Adobe AIR
3. Adobe Shockwave
4. VLC Media Player
5. iTunes
6. Feuerfuchs
7. 7-Zip
8. WinRAR
9. Schnelle Zeit
10. Adobe Flash Player

Wenn Sie die älteren Versionen einbeziehen, scheint Java immer noch die am wenigsten aktualisierte Software zu sein. Die Plugins von Adobe sind ebenfalls große Schuldige, und wir sehen, dass iTunes und VLC diese Liste ebenfalls erstellt haben.

Umgekehrt, laut TechRadarChrome hat bei aktualisierten Apps die Nase vorn. Bei einer Umfrage hatten 88% der Nutzer von Chrome die neueste Version installiert. Dies zeigt, wie große automatische Updates einen großen Unterschied zu den nervigen Update-Eingabeaufforderungen machen, die von Java- und Adobe-Laufzeiten verwendet werden.

Vergessen Sie auch keine Betriebssystem-Updates

Eine weitere wichtige Komponente des zu merkenden Updates sind Betriebssystem-Updates. Denken Sie daran, dass Benutzer, auf denen automatische Updates installiert waren, verschont blieben der schreckliche Ransomware-Angriff Mitte 2017 Der globale Ransomware-Angriff und der Schutz Ihrer DatenEin massiver Cyberangriff hat Computer auf der ganzen Welt getroffen. Wurden Sie von der hochvirulenten, sich selbst replizierenden Ransomware betroffen? Wenn nicht, wie können Sie Ihre Daten schützen, ohne das Lösegeld zu zahlen? Weiterlesen . Selbst wenn Sie Software wie Java auf dem neuesten Stand halten, ist Ihr Computer immer noch gefährdet, wenn Sie keine Windows-Updates installieren.

Windows 10 macht diese automatischen Updates einfach Vor- und Nachteile von erzwungenen Updates in Windows 10Updates ändern sich in Windows 10. Im Moment können Sie auswählen. Windows 10 erzwingt jedoch Aktualisierungen. Es hat Vorteile wie eine verbesserte Sicherheit, kann aber auch schief gehen. Was ist mehr... Weiterlesen , aber diejenigen unter Windows 7 haben sie möglicherweise deaktiviert. Und diejenigen, die Windows XP fast vier Jahre nach dem Ende ihrer Lebensdauer noch verwenden, sind einem großen Risiko ausgesetzt.

Wie gefährlich ist Java wirklich?

Können wir insgesamt noch sagen, dass Java das größte Sicherheitsrisiko für Desktops darstellt? Nicht wirklich. Negativ ist, dass die Benutzer weiterhin veraltete Java-Versionen ausführen, obwohl sie diese wirklich nicht benötigen. Dies öffnet sie für Sicherheitslücken. Da die meisten Browser Java jedoch nicht mehr unterstützen, können sie nicht mehr wie früher angreifen.

Das schwache Glied in der Sicherheit Ihres Computers ist die beliebteste Software, die Sie nicht auf dem neuesten Stand halten. Wenn Sie die neueste Version von Java haben, dies aber noch nicht getan haben deinstallierte die nicht unterstützte QuickTime für Windows, das ist ein großes Risiko. Wenn Sie eine veraltete Version von Flash, Adobe Reader oder iTunes haben, können Sie auch angreifen.

Aktuelle Stimmung: Verweigerung eines Software-Updates für 18 Monate und jetzt ist das herunterzuladende Tool veraltet

- Motten (@ 13_moths) 12. Februar 2018

Wir können den obigen Daten entnehmen, dass Programme ohne automatische Updates normalerweise am wenigsten sicher sind. Beispielsweise fordert iTunes Benutzer ständig zum Aktualisieren auf, was ärgerlich ist. Dies führt dazu, dass Benutzer die Updates ignorieren und eine unsichere Version installiert lassen.

Was ist mit Mac und Linux?

Wir haben uns oben auf Java für Windows konzentriert, aber es ist erwähnenswert, wie sich dies auch auf Mac- und Linux-Benutzer auswirkt.

Obwohl Apple Plugins in Safari nicht standardmäßig ausführen lässt, unterstützt der Browser überraschenderweise die alten Plugins wie Java und Silverlight. Während Sie Java auf Ihrem Mac deinstallieren sollten, es sei denn, Sie benötigen es aus einem bestimmten Grund, hat Java für Mac-Benutzer nicht so viele Probleme verursacht wie unter Windows. In letzter Zeit waren die meisten Sicherheitslücken in macOS vorhanden dank der Versehen von Apple selbst.

Ich muss NetBeans für etwas installieren. Die Mac-Version wird als Installationspaket (!) Ausgeliefert, was eine rote Fahne war. Aber dann wollte es, dass ich Java installiere…

Nee. Nein, nein, nein. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo.

- Cyberpunk 2077 Sucks (@_nulldragon) 8. Februar 2018

Linux hat auch keine eindeutigen Java-Schwachstellen festgestellt. Wenn Sie einen Browser benötigen, der Java unter Linux unterstützt, können Sie das ausprobieren ESR-Version (Extended Support Release) von Firefox. Firefox bietet diese Version für Geschäftsumgebungen. Es bietet die neuesten Sicherheitsupdates, wartet jedoch länger auf die Einführung von Feature-Updates. Die aktuelle Version 52 unterstützt Java und andere ältere Plugins werden bis irgendwann im zweiten Quartal 2018 verfügbar sein.

Eine Plugin-freie Zukunft

Die gute Nachricht ist, dass Sie die meisten davon nicht benötigen potenziell gefährliche und nervige Plugins Denken Sie, dass Flash das einzige unsichere Plugin ist? Denk nochmalFlash ist nicht das einzige Browser-Plugin, das ein Risiko für Ihre Online-Privatsphäre und -Sicherheit darstellt. Hier sind drei weitere Plugins, die Sie wahrscheinlich in Ihrem Browser installiert haben, die Sie aber heute deinstallieren sollten. Weiterlesen nicht mehr installiert. Nur sehr wenige Websites verwenden Java und das Hauptprogramm, für das Java installiert wurde - Minecraft -enthält jetzt eine sichere gebündelte Version von Java So installieren Sie die Vollversion von Minecraft auf einem Linux-PCMinecraft ist eines der größten Spiele der Welt und läuft auf praktisch jeder Plattform. Möchten Sie es auf Ihrem Linux-Computer zum Laufen bringen? Wir zeigen Ihnen wie. Weiterlesen . Andere Plugins sind ebenfalls nicht erforderlich. Microsoft hat Silverlight vor Jahren abgelehnt, und es fällt Ihnen schwer, eine Website mit Shockwave-Inhalten zu finden.

Flash ist die einzige Ausnahme Die Flash Die: Die fortlaufende Geschichte von Tech-Unternehmen, die versuchen, Flash zu tötenFlash ist seit langem rückläufig, aber wann wird es sterben? Weiterlesen . Die meisten Browser unterstützen es aufgrund seiner Beliebtheit immer noch, aber Adobe wird es im Jahr 2020 beenden. Stellen Sie bis dahin sicher, dass Sie Flash auf Ihrem PC aktualisieren. Chrome tut dies automatisch, sodass Sie es möglicherweise nicht mehr installiert haben (was großartig ist).

Kurz gesagt: Java ist immer noch unsicher, stellt jedoch ein geringeres Risiko dar, da Browser es deaktivieren. Sie sollten nicht benötigte Programme (einschließlich alter Plugins) deinstallieren, die Software auf Ihrem Computer auf dem neuesten Stand halten und Betriebssystemupdates anwenden. Wenn Sie dies tun, geht es Ihnen gut.

Bildnachweis: avemario /Depositphotos