Java 6 Kein Patch für aktiv ausgenutzten Exploit

Ein ungepatchter Exploit in Java 6 wird inzwischen aktiv ausgenutzt. Seit April 2013 unterstützt Oracle Java 6 nicht mehr, einen Patch gibt es nur kostenpflichtig. Java 6 ist weiterhin stark verbreitet.

Anzeige

Der als CVE-2013-2463 eingetragene Exploit in Java wird inzwischen aktiv ausgenutzt. Betroffen sind allerdings nur die Versionen 5 und 6 von Java. In Java 7 hat Oracle bereits im Juni 2013 die kritische Sicherheitslücke geschlossen. Seit April 2013 unterstützt Oracle aber Java 6 nicht mehr, obwohl Experten davon ausgehen, dass es sich noch bei mehr als 50 Prozent der Java-Installationen um die Version 6 handelt. Einen Patch gibt es zwar für Enterprise-Kunden, dieser ist aber kostenpflichtig.

Bereits am Wochenende hat der F-Secure-Sicherheitsexperte Timo Hirvonen davor gewarnt, dass ein Proof-of-Concept für die Nutzung des Exploits im Umlauf ist. Inzwischen hat Wolfgang Kandek von der Sicherheitsfirma Qualys bestätigt, dass sich der Exploit mit aktuellen Versionen des Neutrino-Exploit-Kits ausnutzen lässt. Kandek warnt, dass vor allem in Unternehmen weiterhin Java zum Einsatz kommt. Die Java-6-Installationen sollen noch bei über 50 Prozent liegen, schreibt er in seinem Blog.

Patches nur für Java 7

Oracle hat die Existenz der Sicherheitslücke selbst bestätigt und listet die betroffenen Versionen auf seiner Webseite auf: JDK und JRE 6 inklusive Update 45, JDK und JRE 5.0 inklusive Update 45 und JavaFX bis Version 2.2.21. Mit dem kostenlosen Update 22 von JDK und JRE 7 samt JavaFX ist die Sicherheitslücke geschlossen. Oracle schweigt sich aber über Details zu dem Exploit aus.

Details liefert hingegen der entsprechende CVE-Eintrag in der National Vunerability Database. Über eine manipulierte 2D-Komponente kann die Sandbox in Java-Clients umgangen werden, da deren Attribute unzureichend verifiziert werden. Patches für OpenJDK 7 und für die Iced-Tea-Versionen 1.11.12, 1.12.6, 2.1.9, 2.2.9, 2.3.10 und 2.4.1 liegen bereits vor.

In seinem Blogpost rät Kandek dringend zu einem Update auf Java 7. Wer auf Java 6 angewiesen ist, sollte beispielsweise die Sicherheitseinstellungen im Internet Explorer so einstellen, dass nur noch bekannte Java-Applets im Browser ausgeführt werden dürfen.


EvilSheep 28. Aug 2013

Sei doch froh das es solche Firmen gibt, aber nein, wenn etwas nicht immer mehr...

blizzy 28. Aug 2013

Schade, daß Du so einen Unsinn redest. Mit "benötigt spezielle Minor-Version" ist doch...

demon driver 28. Aug 2013

Ich dachte, die hätten die Schirmherrschaft über Java 6 übernommen, und hatte man da...

Kommentieren



Anzeige

  1. Entwickler (m/w) SAP WM / LES (Warehouse Management)
    PAUL HARTMANN AG, Heidenheim
  2. Entwicklungsingenieur (m/w) Systemarchitektur / Systems Engineering
    Diehl BGT Defence GmbH & Co. KG, Überlingen am Bodensee
  3. Manager (m/w) Wechselprozesse in SAP IS-U
    über InterSearch Personalberatung GmbH & Co. KG, Norddeutschland
  4. IT-Projektleiter/in
    Landeshauptstadt München, München

 

Detailsuche


Folgen Sie uns
       


  1. Spähaffäre

    Snowden erklärt seine Frage an Putin

  2. CSA-Verträge

    Microsoft senkt Preise für Support von Windows XP

  3. Test Wyse Cloud Connect

    Dells mobiles Büro

  4. Globalfoundries-Kooperation mit Samsung

    AMDs Konsolengeschäft kompensiert schwache CPU-Sparte

  5. Verband

    "Uber-Verbot ruiniert Ruf der Startup-Stadt Berlin"

  6. Kabel Deutschland

    2.000 Haushalte zwei Tage von Kabelschaden betroffen

  7. Cridex-Trojaner

    Hamburger Senat bestätigt großen Schaden durch Malware

  8. Ubuntu 14.04 LTS im Test

    Canonical in der Konvergenz-Falle

  9. Überwachung

    Snowden befragt Putin in Fernsehinterview

  10. Bleichenbacher-Angriff

    TLS-Probleme in Java



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Test LG L40: Android 4.4.2 macht müde Smartphones munter
Test LG L40
Android 4.4.2 macht müde Smartphones munter

Mit dem L40 präsentiert LG eines der ersten Smartphones mit der aktuellen Android-Version 4.4.2, das unter 100 Euro kostet. Dank der Optimierungen von Kitkat überrascht die Leistung des kleinen Gerätes - und es dürfte nicht nur für Einsteiger interessant sein.

  1. LG G3 5,5-Zoll-Smartphone mit 1440p-Display und Kitkat
  2. LG L35 Smartphone mit Android 4.4 für 80 Euro
  3. Programmierbare LED-Lampe LG kündigt Alternative zur Philips Hue an

Vorratsdatenspeicherung: Totgesagte speichern länger
Vorratsdatenspeicherung
Totgesagte speichern länger

Die Interpretationen des EuGH-Urteils zur Vorratsdatenspeicherung gehen weit auseinander. Für einen endgültigen Abgesang auf die anlasslose Speicherung von Kommunikationsdaten ist es aber noch zu früh.

  1. Bundesregierung Vorerst kein neues Gesetz zur Vorratsdatenspeicherung
  2. Innenministertreffen Keine schnelle Neuregelung zur Vorratsdatenspeicherung
  3. Urteil zu Vorratsdatenspeicherung Regierung uneins über neues Gesetz

Windows 8.1 Update 1 im Test: Ein lohnenswertes Miniupdate
Windows 8.1 Update 1 im Test
Ein lohnenswertes Miniupdate

Microsoft geht wieder einen Schritt zurück in die Zukunft. Mit dem Update 1 baut der Konzern erneut Funktionen ein, die vor allem für Mausschubser gedacht sind. Wir haben uns das Miniupdate für Windows 8.1 pünktlich zur Veröffentlichung angesehen.

  1. Microsoft Installationsprobleme beim Windows 8.1 Update 1
  2. Windows 8.1 Update 1 Wieder mehr minimieren und schließen
  3. Microsoft Windows 8.1 Update 1 vorab verfügbar

    •  / 
    Zum Artikel