Abo
  • Services:
Anzeige
Eine Sicherheitslücke in Java 6 wird aktiv ausgenutzt, ein Patch ist nicht in Sicht.
Eine Sicherheitslücke in Java 6 wird aktiv ausgenutzt, ein Patch ist nicht in Sicht. (Bild: Andreas Donath/Golem.de)

Java 6 Kein Patch für aktiv ausgenutzten Exploit

Ein ungepatchter Exploit in Java 6 wird inzwischen aktiv ausgenutzt. Seit April 2013 unterstützt Oracle Java 6 nicht mehr, einen Patch gibt es nur kostenpflichtig. Java 6 ist weiterhin stark verbreitet.

Anzeige

Der als CVE-2013-2463 eingetragene Exploit in Java wird inzwischen aktiv ausgenutzt. Betroffen sind allerdings nur die Versionen 5 und 6 von Java. In Java 7 hat Oracle bereits im Juni 2013 die kritische Sicherheitslücke geschlossen. Seit April 2013 unterstützt Oracle aber Java 6 nicht mehr, obwohl Experten davon ausgehen, dass es sich noch bei mehr als 50 Prozent der Java-Installationen um die Version 6 handelt. Einen Patch gibt es zwar für Enterprise-Kunden, dieser ist aber kostenpflichtig.

Bereits am Wochenende hat der F-Secure-Sicherheitsexperte Timo Hirvonen davor gewarnt, dass ein Proof-of-Concept für die Nutzung des Exploits im Umlauf ist. Inzwischen hat Wolfgang Kandek von der Sicherheitsfirma Qualys bestätigt, dass sich der Exploit mit aktuellen Versionen des Neutrino-Exploit-Kits ausnutzen lässt. Kandek warnt, dass vor allem in Unternehmen weiterhin Java zum Einsatz kommt. Die Java-6-Installationen sollen noch bei über 50 Prozent liegen, schreibt er in seinem Blog.

Patches nur für Java 7

Oracle hat die Existenz der Sicherheitslücke selbst bestätigt und listet die betroffenen Versionen auf seiner Webseite auf: JDK und JRE 6 inklusive Update 45, JDK und JRE 5.0 inklusive Update 45 und JavaFX bis Version 2.2.21. Mit dem kostenlosen Update 22 von JDK und JRE 7 samt JavaFX ist die Sicherheitslücke geschlossen. Oracle schweigt sich aber über Details zu dem Exploit aus.

Details liefert hingegen der entsprechende CVE-Eintrag in der National Vunerability Database. Über eine manipulierte 2D-Komponente kann die Sandbox in Java-Clients umgangen werden, da deren Attribute unzureichend verifiziert werden. Patches für OpenJDK 7 und für die Iced-Tea-Versionen 1.11.12, 1.12.6, 2.1.9, 2.2.9, 2.3.10 und 2.4.1 liegen bereits vor.

In seinem Blogpost rät Kandek dringend zu einem Update auf Java 7. Wer auf Java 6 angewiesen ist, sollte beispielsweise die Sicherheitseinstellungen im Internet Explorer so einstellen, dass nur noch bekannte Java-Applets im Browser ausgeführt werden dürfen.


eye home zur Startseite
EvilSheep 28. Aug 2013

Sei doch froh das es solche Firmen gibt, aber nein, wenn etwas nicht immer mehr...

blizzy 28. Aug 2013

Schade, daß Du so einen Unsinn redest. Mit "benötigt spezielle Minor-Version" ist doch...

demon driver 28. Aug 2013

Ich dachte, die hätten die Schirmherrschaft über Java 6 übernommen, und hatte man da...



Anzeige

Stellenmarkt
  1. über Robert Half Technology, Großraum Düsseldorf
  2. AreaDigital AG, Fürth
  3. über Robert Half Technology, Raum Hamburg
  4. über Robert Half Technology, Raum Mosbach


Anzeige
Blu-ray-Angebote
  1. 19,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Der Schuh des Manitu, Agenten sterben einsam, Space Jam, Dark City)
  3. (u. a. Jurassic World, Creed, Die Unfassbaren, Kingsman, John Wick, Interstellar, Mad Max)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. XPG SX8000

    Adatas erste PCIe-NVMe-SSD nutzt bewährte Komponenten

  2. UBBF2016

    Telefónica will 2G-Netz in vielen Ländern abschalten

  3. Mögliche Übernahme

    Qualcomm interessiert sich für NXP Semiconductors

  4. Huawei

    Vectoring erreicht bald 250 MBit/s in Deutschland

  5. Kaufberatung

    Das richtige Solid-State-Drive

  6. Android-Smartphone

    Huawei bringt Nova Plus doch nach Deutschland

  7. Rosetta

    Mach's gut und danke für die Bilder!

  8. Smartwatch

    Android Wear 2.0 kommt doch erst nächstes Jahr

  9. G Suite

    Google verbessert Apps for Work mit Maschinenlernen

  10. Nahbereich

    Netzbetreiber wollen Vectoring II der Telekom blockieren



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Swift Playgrounds im Test: Apple infiziert Kinder mit Programmiertalent
Swift Playgrounds im Test
Apple infiziert Kinder mit Programmiertalent
  1. Asus PG248Q im Test 180 Hertz erkannt, 180 Hertz gebannt

MacOS 10.12 im Test: Sierra - Schreck mit System
MacOS 10.12 im Test
Sierra - Schreck mit System
  1. MacOS 10.12 Sierra fungiert als alleiniges Sicherheitsupdate für OS X
  2. MacOS Sierra und iOS 10 Apple schmeißt unsichere Krypto raus
  3. Kaspersky Neue Malware installiert Hintertüren auf Macs

Android 7.0 im Test: Zwei Fenster für mehr Durchblick
Android 7.0 im Test
Zwei Fenster für mehr Durchblick
  1. Android-X86 Desktop-Port von Android 7.0 vorgestellt
  2. Android 7.0 Erste Nougat-Portierung für Nexus 4 verfügbar
  3. Android 7.0 Erste Nougat-Portierungen für Nexus 5 und Nexus 7 verfügbar

  1. Re: 100 PS und 500 km Reichweite wären völlig...

    Apfelbrot | 16:57

  2. Re: bitte erst nachdem...

    My1 | 16:57

  3. Re: googelt mal PancasTV (Kodi-Addon)...

    Seasdfgas | 16:54

  4. Re: Ach wie niedlich ein Konzept.

    tingelchen | 16:53

  5. Re: o2 Free Tarife betroffen!

    HelpbotDeluxe | 16:50


  1. 14:07

  2. 13:45

  3. 13:18

  4. 12:42

  5. 12:06

  6. 12:05

  7. 11:52

  8. 11:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel