Neuer Exploit für ungepatchte Lücke in Java 6 aufgetaucht

SicherheitSicherheitsmanagement
Java Logo (Grafik: Oracle)

Die mit dem Exploit ausgenutzte Schwachstelle ist seit Juni bekannt. Laut Trend Micro wird sie jetzt mit einem Teil des Exploit-Kits Neutrino für Angriffe verwendet. Seit dem Support-Ende für Java 6 im April entwickelt Oracle keine Patches mehr – obwohl Schätzungen zufolge noch 50 Prozent der Nutzer die Java-Version einsetzen.

Trend Micro hat vor einem Exploit für eine Sicherheitslücke in Java SE 6 gewarnt, für die es keinen Patch gibt. Es handelt sich um die Schwachstelle CVE-2013-2463. In Java SE 7 hat Oracle sie im vergangenen Juni beseitigt. Für Java 6 liefert Oracle seit Ablauf des Supports im April allerdings keine Fixes mehr.

java-logo

“Besonders alarmierend ist, dass besagter Exploit in das Neutrino-Exploit-Kit integriert wurde”, erkläfrt Trend-Micro-Sprecher Gelo Abendan in einem Blogeintrag. Die Exploit-Sammlung sei bereits für die Verbreitung von Ransomware verwendet worden, also Malware, die wichtige Systemdateien sperrt und erst nach Zahlung eines “Lösegelds” wieder freigibt.

Oracles Weigerung, das Loch in Java 6 zu stopfen, könnte laut Abendan ernste Folgen haben: Mehr als 50 Prozent der Nutzer setzten immer noch die Version der Laufzeitumgebung ein. Der Exploit ermögliche es Hackern und Cyberkriminellen insbesondere, Firmen anzugreifen, die aus technischen Gründen nicht auf die neueste Version der Oracle-Software umsteigen können.

websense-java-expoits
Anfang des Jahres lief nur auf 5,53 Prozent aller Rechner eine vollständig gepatchte Version von Java SE (Grafik: Websense).

Trend Micro empfiehlt Java-Nutzern, ein Upgrade auf Java 7 durchzuführen. Unternehmen, die noch Java 6 verwenden, sollten dringend den Umstieg auf die jüngste Version in Angriff nehmen, um sich vor Angriffen auf die Java-Lücke zu schützen.

“Dieser Vorfall bietet auch einen Vorgeschmack auf das, was passieren könnte, nachdem Microsoft den Support für Windows XP beendet hat”, ergänzt Abendan. Im April 2014 stellt Microsoft aber nicht nur die Unterstützung für Windows XP, sondern auch für Office 2003 ein. Der Softwarekonzern rät Nutzern schon länger, bis dahin auf aktuelle Versionen seiner Software umzusteigen.

Laut einer im März von Websense veröffentlichten Studie lief Anfang des Jahres auf 95 Prozent aller Rechner, auf denen Oracles Java installiert war, eine veraltete und damit anfällige Version der Laufzeitumgebung. Nur 5,53 Prozent aller Systeme nutzten zu dem Zeitpunkt die aktuelle Version. Auf 78,86 Prozent aller Rechner lief noch Java 6.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen