Am Montag war eine kritische Java-Lücke bekannt geworden, durch die man sich beim Besuch einer Website infizieren kann. Mittlerweile wird diese Lücke auch durch manipulierte Werbebanner auf seriösen Seiten aktiv ausgenutzt und es gibt entsprechende Warnungen des deutschen Bundesamts für Informationssicherheit und des United States Computer Emergency Readiness Teams (US-Cert). Und in Luxemburg? Auf CASES, dem Portal für Informationssicherheit des Wirtschaftsministeriums, geht es in der aktuellsten Meldung um ein neues Video: “Best of ‘Safer Internet Day 2012′” vom Februar.

Schutz vor der neuen Lücke bietet das Deaktivieren des Java-Plug-ins im Browser. Anleitungen für verschiedene Browser sind auf heise.de zu finden. Beim Verwendung des Internet Explorers empfiehlt heise die vollständige Deinstallation von Java über die Systemsteuerung, da das “Deaktivieren von Java offenbar alles andere als trivial” sei (es ist tatsächlich unnötig kompiliziert). Wer Java-Applets hin und wieder ausführen muss, kann unter Firefox mit dem QuickJava-Addon die Ausführung von Java bequem per Mausklick zulassen.

Update 16:00h: Die Java-Lücke hat es nun auch auf die französische CASES-Seite geschafft. Die Problembeschreibung ist allerdings irreführend:

Si vous ne mettez pas à jour les plug-ins de votre navigateur vous courez le risque de vous faire infecter simplement en surfant la toile.

Das stimmt zwar generell, hilft aber konkret in diesem Fall nicht weiter. Auch ein Browser mit dem aktuellsten Java-Plugin ist für die Sicherheitslücke anfällig.

Update 30.08.2012: Die Warnung ist seit gestern Nachmittag auch auf tageblatt.lu und seit heute Morgen auch auf wort.lu zu lesen. Wirklich ärgerlich ist aber eher die Langsamkeit von Oracle: Oracle reportedly knew of critical Java bugs under attack for 4 months.

Update 31.08.2012: Oracle hat die Sicherheitslücke mit der Java-Version 7 Update 7 geschlossen.