Java 6: Kein Patch für aktiv ausgenutzten Exploit

Ein ungepatchter Exploit in Java 6 wird inzwischen aktiv ausgenutzt. Seit April 2013 unterstützt Oracle Java 6 nicht mehr, einen Patch gibt es nur kostenpflichtig. Java 6 ist weiterhin stark verbreitet.

Artikel veröffentlicht am ,
Eine Sicherheitslücke in Java 6 wird aktiv ausgenutzt, ein Patch ist nicht in Sicht.
Eine Sicherheitslücke in Java 6 wird aktiv ausgenutzt, ein Patch ist nicht in Sicht. (Bild: Andreas Donath/Golem.de)

Der als CVE-2013-2463 eingetragene Exploit in Java wird inzwischen aktiv ausgenutzt. Betroffen sind allerdings nur die Versionen 5 und 6 von Java. In Java 7 hat Oracle bereits im Juni 2013 die kritische Sicherheitslücke geschlossen. Seit April 2013 unterstützt Oracle aber Java 6 nicht mehr, obwohl Experten davon ausgehen, dass es sich noch bei mehr als 50 Prozent der Java-Installationen um die Version 6 handelt. Einen Patch gibt es zwar für Enterprise-Kunden, dieser ist aber kostenpflichtig.

Stellenmarkt
  1. Systemtechniker*in (m/w/d) Netzwerkdienste
    Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. IT-Demand Manager (m/w/d)
    Techniker Krankenkasse, Hamburg
Detailsuche

Bereits am Wochenende hat der F-Secure-Sicherheitsexperte Timo Hirvonen davor gewarnt, dass ein Proof-of-Concept für die Nutzung des Exploits im Umlauf ist. Inzwischen hat Wolfgang Kandek von der Sicherheitsfirma Qualys bestätigt, dass sich der Exploit mit aktuellen Versionen des Neutrino-Exploit-Kits ausnutzen lässt. Kandek warnt, dass vor allem in Unternehmen weiterhin Java zum Einsatz kommt. Die Java-6-Installationen sollen noch bei über 50 Prozent liegen, schreibt er in seinem Blog.

Patches nur für Java 7

Oracle hat die Existenz der Sicherheitslücke selbst bestätigt und listet die betroffenen Versionen auf seiner Webseite auf: JDK und JRE 6 inklusive Update 45, JDK und JRE 5.0 inklusive Update 45 und JavaFX bis Version 2.2.21. Mit dem kostenlosen Update 22 von JDK und JRE 7 samt JavaFX ist die Sicherheitslücke geschlossen. Oracle schweigt sich aber über Details zu dem Exploit aus.

Details liefert hingegen der entsprechende CVE-Eintrag in der National Vunerability Database. Über eine manipulierte 2D-Komponente kann die Sandbox in Java-Clients umgangen werden, da deren Attribute unzureichend verifiziert werden. Patches für OpenJDK 7 und für die Iced-Tea-Versionen 1.11.12, 1.12.6, 2.1.9, 2.2.9, 2.3.10 und 2.4.1 liegen bereits vor.

Golem Karrierewelt
  1. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    19.-22.09.2022, virtuell
  2. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    19.-21.07.2022, Virtuell
Weitere IT-Trainings

In seinem Blogpost rät Kandek dringend zu einem Update auf Java 7. Wer auf Java 6 angewiesen ist, sollte beispielsweise die Sicherheitseinstellungen im Internet Explorer so einstellen, dass nur noch bekannte Java-Applets im Browser ausgeführt werden dürfen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


EvilSheep 28. Aug 2013

Sei doch froh das es solche Firmen gibt, aber nein, wenn etwas nicht immer mehr...

blizzy 28. Aug 2013

Schade, daß Du so einen Unsinn redest. Mit "benötigt spezielle Minor-Version" ist doch...

demon driver 28. Aug 2013

Ich dachte, die hätten die Schirmherrschaft über Java 6 übernommen, und hatte man da...



Aktuell auf der Startseite von Golem.de
Ron Gilbert
Chefentwickler von Monkey Island sauer auf Community

"Die Leute sind gemein": Ron Gilbert, Chefentwickler von Return to Monkey Island, reagiert auf Kritik am Grafikstil des Adventures.

Ron Gilbert: Chefentwickler von Monkey Island sauer auf Community
Artikel
  1. JD Power: Elektrofahrzeughersteller haben ernste Qualitätsprobleme
    JD Power
    Elektrofahrzeughersteller haben ernste Qualitätsprobleme

    Die Neuwagenkäufer sind nach einer Befragung von JD Power bei Polestar und Tesla besonders unzufrieden mit der Qualität. Sieger ist Buick.

  2. CD Projekt Red: Ursachenforschung über Bugs in Cyberpunk 2077
    CD Projekt Red
    Ursachenforschung über Bugs in Cyberpunk 2077

    War ein Dienstleister schuld an den massiven Fehlern in Cyberpunk 2077? Darauf deutet ein umfangreicher, aber umstrittener Leak hin.

  3. Elektroauto: BMW i3 kommt in einer Schlussphasen-Edition
    Elektroauto
    BMW i3 kommt in einer Schlussphasen-Edition

    BMW hat eine Viertelmillion i3 gebaut, doch nun wird das Auto eingestellt. Zuvor gibt es eine Sonderedition.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG UltraGear 27" WQHD 165 Hz 299€ • Switch OLED günstig wie nie: 333€ • MindStar (MSI Optix 27" WQHD 165 Hz 249€, MSI RX 6700 XT 499€) • Alternate (SSDs & RAM von Kingston) • Grafikkarten zu Toppreisen • PNY RTX 3080 12GB günstig wie nie: 929€ • Top-TVs bis 53% Rabatt [Werbung]
    •  /