Eine Sicherheitslücke in Java 6 wird aktiv ausgenutzt, ein Patch ist nicht in Sicht.
Eine Sicherheitslücke in Java 6 wird aktiv ausgenutzt, ein Patch ist nicht in Sicht. (Bild: Andreas Donath/Golem.de)

Java 6 Kein Patch für aktiv ausgenutzten Exploit

Ein ungepatchter Exploit in Java 6 wird inzwischen aktiv ausgenutzt. Seit April 2013 unterstützt Oracle Java 6 nicht mehr, einen Patch gibt es nur kostenpflichtig. Java 6 ist weiterhin stark verbreitet.

Anzeige

Der als CVE-2013-2463 eingetragene Exploit in Java wird inzwischen aktiv ausgenutzt. Betroffen sind allerdings nur die Versionen 5 und 6 von Java. In Java 7 hat Oracle bereits im Juni 2013 die kritische Sicherheitslücke geschlossen. Seit April 2013 unterstützt Oracle aber Java 6 nicht mehr, obwohl Experten davon ausgehen, dass es sich noch bei mehr als 50 Prozent der Java-Installationen um die Version 6 handelt. Einen Patch gibt es zwar für Enterprise-Kunden, dieser ist aber kostenpflichtig.

Bereits am Wochenende hat der F-Secure-Sicherheitsexperte Timo Hirvonen davor gewarnt, dass ein Proof-of-Concept für die Nutzung des Exploits im Umlauf ist. Inzwischen hat Wolfgang Kandek von der Sicherheitsfirma Qualys bestätigt, dass sich der Exploit mit aktuellen Versionen des Neutrino-Exploit-Kits ausnutzen lässt. Kandek warnt, dass vor allem in Unternehmen weiterhin Java zum Einsatz kommt. Die Java-6-Installationen sollen noch bei über 50 Prozent liegen, schreibt er in seinem Blog.

Patches nur für Java 7

Oracle hat die Existenz der Sicherheitslücke selbst bestätigt und listet die betroffenen Versionen auf seiner Webseite auf: JDK und JRE 6 inklusive Update 45, JDK und JRE 5.0 inklusive Update 45 und JavaFX bis Version 2.2.21. Mit dem kostenlosen Update 22 von JDK und JRE 7 samt JavaFX ist die Sicherheitslücke geschlossen. Oracle schweigt sich aber über Details zu dem Exploit aus.

Details liefert hingegen der entsprechende CVE-Eintrag in der National Vunerability Database. Über eine manipulierte 2D-Komponente kann die Sandbox in Java-Clients umgangen werden, da deren Attribute unzureichend verifiziert werden. Patches für OpenJDK 7 und für die Iced-Tea-Versionen 1.11.12, 1.12.6, 2.1.9, 2.2.9, 2.3.10 und 2.4.1 liegen bereits vor.

In seinem Blogpost rät Kandek dringend zu einem Update auf Java 7. Wer auf Java 6 angewiesen ist, sollte beispielsweise die Sicherheitseinstellungen im Internet Explorer so einstellen, dass nur noch bekannte Java-Applets im Browser ausgeführt werden dürfen.


EvilSheep 28. Aug 2013

Sei doch froh das es solche Firmen gibt, aber nein, wenn etwas nicht immer mehr...

blizzy 28. Aug 2013

Schade, daß Du so einen Unsinn redest. Mit "benötigt spezielle Minor-Version" ist doch...

demon driver 28. Aug 2013

Ich dachte, die hätten die Schirmherrschaft über Java 6 übernommen, und hatte man da...

Kommentieren



Anzeige

  1. Senior Software Entwickler (m/w)
    MECOMO AG, Unterschleißheim
  2. Kundenberater für ERP-Projekte (m/w)
    ABACUS Business Solutions GmbH, München
  3. Projektleiter (m/w) hardwarenahe Software für KFZ-Steuergeräte
    Robert Bosch GmbH, Abstatt
  4. (System-)Administrator (m/w) für Monitoring- / Testsystem
    Unitymedia GmbH, Stuttgart-Wangen

 

Detailsuche


Top-Angebote
  1. VORBESTELLBAR: Jurassic Park Collection - Dino-Skin Edition (exkl. bei Amazon.de) [Blu-ray] [Limited Edition]
    29,99€ - Release 11.06.
  2. TIPP: Blu-ray-Tipps aus Filmaktion
    (u. a. Transformers 4 8,97€, Interstellar 12,99€, Fast & Furious 1-6 26,97€, Zurück in die...
  3. NEUE BLU-RAY-/DVD-AKTION: 7 Tage Tiefpreise bei Amazon
    (u. a. Blu-rays: Der Hobbit: Die Schlacht der fünf Heere 11,11€, The Scorpion King 1-3 Box 9...

 

Weitere Angebote


Folgen Sie uns
       


  1. Akku-Uhrenarmband

    Apple Watch soll über verdeckten Port schneller laden

  2. Sprachassistent

    Google Now wird schlauer

  3. Google

    Fotos-App mit unbegrenztem Cloud-Speicher

  4. Project Brillo

    Google vertieft Bemühungen im Smart-Home-Bereich

  5. Umfrage

    IT-Nachwuchs erwartet Einstiegsgehalt von über 46.000 Euro

  6. Android M

    Google mit neuem System für App-Berechtigungen

  7. Windows 7

    Drahtzieher von PC Fritz erhält über sechs Jahre Haft

  8. NC Soft

    Wildstar wird Free-to-Play

  9. SMS

    O2 warnt Handy-Kunden vor automatischem Internetzugriff

  10. EA Sports

    Fifa 16 bietet Frauenfußball



Haben wir etwas übersehen?

E-Mail an news@golem.de



Soziales Netzwerk Sociax: Das Facebook mit mehr Privatsphäre
Soziales Netzwerk Sociax
Das Facebook mit mehr Privatsphäre
  1. Nepal Facebook, Google und Openstreetmap helfen Erdbebenopfern
  2. Karrierenetzwerk LinkedIn will Zukauf für 1,5 Milliarden US-Dollar
  3. Soziale Netzwerke Vernetzt und zugenäht!

Berlin E-Prix: Motoren, die nach Star Wars klingen
Berlin E-Prix
Motoren, die nach Star Wars klingen
  1. Funktechnik Daimler und Qualcomm vernetzen das Auto

Apps für Googles Cardboard: Her mit der Pappe!
Apps für Googles Cardboard
Her mit der Pappe!
  1. Game of Thrones Auf der Mauer weht ein eisiger Wind
  2. VR im Journalismus So nah, dass es fast wehtut
  3. Deep angespielt "Atme tief ein und tauche durch die virtuelle Welt"

  1. Re: Für mich sind MMORPGs seit ca. 8 Jahren tot.

    spantherix | 02:09

  2. Re: Es wird wieder die treffen die keine Backups...

    spantherix | 02:06

  3. Re: Gemischte Gefühle

    Qbit42 | 02:04

  4. rofl xD

    spantherix | 01:59

  5. Re: War Spitze ...

    spantherix | 01:55


  1. 23:20

  2. 21:09

  3. 20:58

  4. 20:12

  5. 20:06

  6. 19:57

  7. 17:54

  8. 16:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel