Yahoo mit Java-Version von 2008

Während sich Meldungen über Sicherheitslücken in Java die Klinke in die Hand geben und Oracle alle Mühe hat, die Lücken zeitnah zu schließen, liefert Yahoo einen Baukasten für Webseiten aus, der das mehr als vier Jahre alte Java 6 Update 7 mitbringt. Dass sich dieses Angebot an kleine Unternehmen wendet, macht es noch brisanter.

Wie der Sicherheits-Blogger Brian Krebs auf KrebsonSecurity berichtet, liefert das Tool SiteBuilder des Yahoo Hosting Environments diese alte und mit vielen längst bekannten Sicherheitslücken gespickte Java-Version mit aus. Viele dieser Lücken stellen ein großes Risiko dar, da sie bereits lange aktiv ausgenutzt wurden und in diversen Hacker-Toolkits ihr Unwesen treiben.

SiteBuilder verspricht, einfache Webseiten per Mausklick und Drag and Drop ohne HTML-Kenntnisse zu erstellen und bringt durch das mitinstallierte Java 6 Update 7 eine Unmenge an Verwundbarkeiten vor allem auf Rechner von unbedarften Nutzer, die beispielsweise eine Webseite für ihr kleines Unternehmen brauchen und sich dadurch besonders exponieren. Unklar ist bisher, ob Yahoo diesen Lapsus übersehen hat oder ob SiteBuilder nicht mit neueren Versionen wie dem derzeit aktuellen Java 6 Update 39 zusammen arbeitet.

Wie Krebs nebenbei erwähnt, gibt es noch einen weiteren Grund, Yahoo SiteBuilder nicht zu verwenden, wenn der Nutzer Wert darauf legt, in Suchmaschinen gut dazustehen. SiteBuilder kann nicht mit „url canonicalization“ umgehen, was laut Matt Cutts von Google einer der Stützpfeiler von SEO ist.