Java-Applets deaktivieren
Es gibt eine Vielzahl von sinnvollen Java-Anwendungen. Im Internet spielt Java aber keine Rolle mehr (im Gegensatz zu Javascipt, bitte nicht verwechseln). Trotzdem installiert Oracles Java unter Windows ohne Nachfrage ein Browser-Plugin zum Ausführen von Java-Applets, die in Webseiten eingebettet sein können. Dieses Browser Plug-in ist in erster Linie ein Risiko ohne Nutzwert und kann zur Installation von Trojanern genutzt werden [
1] [
2] [
3].
Der
(Staats-) Trojaner der italienischen Firma HackingTeam wird beispielsweise mit einer sauber signierten JAR-Datei auf dem Zielsystem installiert. Der Trojaner belauscht Skype, fängt Tastatureingaben ab, kann die Webcam zur Raumüberwachung aktivieren und den Standort des Nutzers ermitteln.
Als Schutz wird häufig die die komplette Deinstallation von Java empfohlen (
BSI,
DHS,
Fefe). Das ist Bullshit und nur sinnvoll, wenn man keine Java-Programme nutzt. Anderenfalls ist die komplette Deinstallation von Java eine unnötige Einschränkung für sinnvolle Anwendungen.
- Aktuelle Linux Distributionen verwenden in der Regel OpenJDK-6/7. Diese Java-JRE installiert KEIN Browser Plug-in. Es besteht also auch keine Gefahr, durch bösartige Java-Applets aus dem Internet den Rechner zu verseuchen.
- Unter Windows bietet die aktuelle Version von Oracles Java die Möglichkeit, die Plug-ins für alle Browser unter "Systemsteuerung - Programme - Java" zu deaktivieren.