Eine Sicherheitslücke in Java 6 wird aktiv ausgenutzt, ein Patch ist nicht in Sicht.
Eine Sicherheitslücke in Java 6 wird aktiv ausgenutzt, ein Patch ist nicht in Sicht. (Bild: Andreas Donath/Golem.de)

Java 6 Kein Patch für aktiv ausgenutzten Exploit

Ein ungepatchter Exploit in Java 6 wird inzwischen aktiv ausgenutzt. Seit April 2013 unterstützt Oracle Java 6 nicht mehr, einen Patch gibt es nur kostenpflichtig. Java 6 ist weiterhin stark verbreitet.

Anzeige

Der als CVE-2013-2463 eingetragene Exploit in Java wird inzwischen aktiv ausgenutzt. Betroffen sind allerdings nur die Versionen 5 und 6 von Java. In Java 7 hat Oracle bereits im Juni 2013 die kritische Sicherheitslücke geschlossen. Seit April 2013 unterstützt Oracle aber Java 6 nicht mehr, obwohl Experten davon ausgehen, dass es sich noch bei mehr als 50 Prozent der Java-Installationen um die Version 6 handelt. Einen Patch gibt es zwar für Enterprise-Kunden, dieser ist aber kostenpflichtig.

Bereits am Wochenende hat der F-Secure-Sicherheitsexperte Timo Hirvonen davor gewarnt, dass ein Proof-of-Concept für die Nutzung des Exploits im Umlauf ist. Inzwischen hat Wolfgang Kandek von der Sicherheitsfirma Qualys bestätigt, dass sich der Exploit mit aktuellen Versionen des Neutrino-Exploit-Kits ausnutzen lässt. Kandek warnt, dass vor allem in Unternehmen weiterhin Java zum Einsatz kommt. Die Java-6-Installationen sollen noch bei über 50 Prozent liegen, schreibt er in seinem Blog.

Patches nur für Java 7

Oracle hat die Existenz der Sicherheitslücke selbst bestätigt und listet die betroffenen Versionen auf seiner Webseite auf: JDK und JRE 6 inklusive Update 45, JDK und JRE 5.0 inklusive Update 45 und JavaFX bis Version 2.2.21. Mit dem kostenlosen Update 22 von JDK und JRE 7 samt JavaFX ist die Sicherheitslücke geschlossen. Oracle schweigt sich aber über Details zu dem Exploit aus.

Details liefert hingegen der entsprechende CVE-Eintrag in der National Vunerability Database. Über eine manipulierte 2D-Komponente kann die Sandbox in Java-Clients umgangen werden, da deren Attribute unzureichend verifiziert werden. Patches für OpenJDK 7 und für die Iced-Tea-Versionen 1.11.12, 1.12.6, 2.1.9, 2.2.9, 2.3.10 und 2.4.1 liegen bereits vor.

In seinem Blogpost rät Kandek dringend zu einem Update auf Java 7. Wer auf Java 6 angewiesen ist, sollte beispielsweise die Sicherheitseinstellungen im Internet Explorer so einstellen, dass nur noch bekannte Java-Applets im Browser ausgeführt werden dürfen.


EvilSheep 28. Aug 2013

Sei doch froh das es solche Firmen gibt, aber nein, wenn etwas nicht immer mehr...

blizzy 28. Aug 2013

Schade, daß Du so einen Unsinn redest. Mit "benötigt spezielle Minor-Version" ist doch...

demon driver 28. Aug 2013

Ich dachte, die hätten die Schirmherrschaft über Java 6 übernommen, und hatte man da...

Kommentieren



Anzeige

  1. Facharchitekt (m/w) Bankreporting im Bereich Gesamtbanksteuerung (GBS)
    Deutsche Apotheker- und Ärztebank eG, Düsseldorf
  2. Projektleiter Software Entwicklung und Test (m/w)
    Batterien-Montage-Zentrum GmbH, Karlstein am Main
  3. IT-Systemintegrator 3rd Level Support (m/w)
    opta data Abrechnungs GmbH, Essen
  4. Referent (m/w) - Projektentwicklung
    Hasso Plattner Institut für Softwaresystemtechnik GmbH, Potsdam

 

Detailsuche


Blu-ray-Angebote
  1. VORBESTELLBAR: Game of Thrones - Die komplette 5. Staffel [Blu-ray]
    39,99€ (Vorbesteller-Preisgarantie)
  2. Blu-rays für je 5 EUR
    (u. a. Halloween 4, Frozen River, Memory Effect)
  3. Band of Brothers - Box Set [Blu-ray]
    17,97€

 

Weitere Angebote


Folgen Sie uns
       


  1. Worldwide Telescope

    Microsoft legt virtuellen Weltraum offen

  2. BND-Selektorenaffäre

    Die Hasen vom Bundeskanzleramt

  3. Kommando zurück

    Google setzt Preis des Nexus 6 wieder herauf

  4. Bombardier Primove

    Eine E-Busfahrt, die ist lustig

  5. VPN-Schwachstellen

    PureVPN veröffentlicht Patch für seine Windows-Software

  6. Mozilla

    Firefox 39 schmeißt alte Krypto raus

  7. Solarer Weltflug

    Solar Impulse ist im Anflug auf Hawaii

  8. Edge-Browser

    Microsoft wirft Silverlight raus und packt DRM rein

  9. Wearables

    Casios Smartwatch soll mehr Uhr als Smart Device sein

  10. Internethandel

    EU will Onlineschulden grenzübergreifend kassieren



Haben wir etwas übersehen?

E-Mail an news@golem.de



Radeon R9 Fury X im Test: AMDs Wasserzwerg schlägt Nvidias Titan in 4K
Radeon R9 Fury X im Test
AMDs Wasserzwerg schlägt Nvidias Titan in 4K
  1. Radeon R9 390 im Test AMDs neue alte Grafikkarten bekommen einen Nitro-Boost
  2. Grafikkarte AMDs neue R7- und R9-Modelle sind beschleunigte Vorgänger
  3. Grafikkarte AMD kündigt Radeon R9 Fury X und R9 Nano an

PGP: Hochsicher, kaum genutzt, völlig veraltet
PGP
Hochsicher, kaum genutzt, völlig veraltet
  1. OpenPGP Facebook verschlüsselt E-Mails
  2. Geheimhaltung IT-Experten wollen die NSA austricksen
  3. Security Wie Google Android sicher macht

Urheberrecht: Die Panoramafreiheit ist bedroht
Urheberrecht
Die Panoramafreiheit ist bedroht
  1. EU-Urheberrecht Wikipedia fürchtet Abschaffung der Panoramafreiheit
  2. Experten Filesharing-Urteil des Bundesgerichtshofs für Musikindustrie
  3. Privatkopie Österreich will Downloads von illegalen Quellen verbieten

  1. Re: Preis

    Lala Satalin... | 14:21

  2. Re: Extremisten streamen weiter und ich komm in...

    tingelchen | 14:21

  3. PIN immer abfragen

    Marius428 | 14:20

  4. Re: Fenster...

    der_wahre_hannes | 14:20

  5. Re: Sky Go

    IchBinFanboyVon... | 14:19


  1. 14:16

  2. 14:11

  3. 13:37

  4. 12:00

  5. 11:46

  6. 11:26

  7. 11:13

  8. 11:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel