Java-Plugin unter Linux stillegen

Heise berichtet seit Tagen über einen Fehler in Java, durch den beliebige Systeme angreifbar werden. Zumindest lässt sich mit den Benutzerrechten, mit denen eine Browsersitzung gestartet wurde, Code ausführen wenn eine Webseite aufgerufen wird, die Schadcode enthält.

Das Plugin lässt sich für alle Benutzer ganz einfach abschalten, in dem man jedem(!) Benutzer alle Rechte entzieht

user@host: ~> sudo bash

host:/home/user # cd /usr/lib64/browser-plugins

host:/usr/lib64/browser-plugins # chmod 000 javaplugin.so

Bei meiner SuSE-Installation ist dadurch letztendlich /usr/lib64/IcedTeaPlugin.so betroffen, weil die Links (s.u.) auf diese Datei verweisen. Aber dieses Plugin hat die selbe Sicherheitslücke.

Das einfache Umbenennen bringt hier nichts, Opera lädt z.B. offenbar alles, was der Ordner hergibt, also nicht nur Bibliotheken mit der Endung '.so'. Die Datei ganz zu löschen könnte einige Mühe verursachen, wenn das heute still veröffentlichte Update über das Paketmanagement der Distribution verfügbar wird...

Hinweis: Auf 32-Bit-Systemen liegt die Datei (der Link) in /usr/lib/browser-plugins

Freilich kommt auch das Löschen in Frage. Eine Alternative wäre den Link in /etc/alternatives/javaplugin zu manipulieren. z.B. auf /bin/false verweisen zu lassen:

user@host: ~> sudo bash

host:/home/user # cd /etc/alternatives/

host:/etc/alternatives/ # mv javaplugin javaplugin_aus

host:/etc/alternatives/ # ln -s /bin/false javaplugin

Zuvor muss man natürlich prüfen, ob /usr/lib(64)/browser-plugins überhaupt auf /etc/alternatives/javaplugin verweist. Sonst macht das nämlich keinen Sinn.


Der Erfolg sollte durch einen Abruf der Seite http://www.heise.de/security/dienste/Java-403125.html getestet werden.