Java ist auf 95 Prozent aller Rechner anfällig

Stefan Beiersmann,
Sicherheit
Java Logo

Auf 95 Prozent aller Rechner, auf denen Oracles Java installiert ist, läuft eine veraltete und damit anfällige Version der Laufzeitumgebung, so das Ergebnis einer Untersuchung von Websense. Das Sicherheitsunternehmen hat dafür nach eigenen Angaben Anfragen von mehreren zehn Millionen Computern untersucht. Nur auf 5,53 Prozent aller Systeme befand sich zum Untersuchungszeitpunkt eine aktuelle Version von Java SE (Java 7 Update 17: 5,17 Prozent, Java 6 Update 43: 0,36 Prozent).

(Bild: Peter Marwan / ITespresso)

Angesichts der Vielzahl der Schwachstellen sei es schwierig, Java sowie das zugehörige Browser-Plug-in aktuell zu halten, heißt es weiter in der Studie. Hinzu komme, dass Java unabhängig vom verwendeten Browser auf den neuesten Stand gebracht werden müsse. “Die meisten Versionen sind seit Monaten und sogar Jahren veraltet”, schreibt Websense. Das im Oktober 2009 bereitgestellte Update 19 für Java 6 entdeckte das Unternehmen noch auf 9,04 Prozent aller untersuchten Rechner.

75 Prozent aller Browser nutzen der Studie zufolge eine Java-Version, die mindestens sechs Monate alt ist. Bei fast zwei Dritteln sei Java über ein Jahr alt und mehr als 50 Prozent seien seit mehr als zwei Jahren nicht mehr aktualisiert worden. Websense weist zudem darauf hin, dass Nutzer, die Version 7 noch nicht haben, (78,86 Prozent), von Oracle nicht mehr mit neuen Updates versorgt werden, selbst wenn neue Schwachstellen entdeckt werden.

Die Analyse von mehreren Milliarden Browseranfragen habe gezeigt, dass 93,77 Prozent anfällig seien für die Java-Schwachstelle CVE-2013-1493, die in Java 7 Update 15 und Java 6 Update 41 stecke. Der Anteil sei bei dieser Sicherheitslücke besonders hoch, weil es eine der aktuellsten sei.

Bei älteren Sicherheitslücken sinkt der Prozentsatz deutlich. Dennoch sind immerhin noch 71,54 Prozent anfällig für die Lücke CVE-2012-4681, die in den im April 2012 veröffentlichten Versionen Java 7 Update 6 und Java 6 Update 34 steckt. Allerdings nimmt auch die Zahl der Exploit Kits zu, die Code für eine bestimmte Schwachstelle enthalten. Bei CVE-2013-1493 ist es laut Websense nur das Exploit Kit “Cool”, während sich CVE-2012-4681 mit den vier Malware-Baukästen “Blackhole 2.0”, “RedKit”, “CritXPack” und “Gong Da” angreifen lässt.

Eine vollständig gepatchte Version von Java SE läuft nur auf 5,53 Prozent aller Rechner (Grafik: Websense)
Eine vollständig gepatchte Version von Java SE läuft nur auf 5,53 Prozent aller Rechner (Grafik: Websense).

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch :

Zahllose Websites über fehlerhafte JavaScript-Komponenten angreifbar

Oracle schließt 13 Sicherheitslücken in Java SE

Google behält im Java-Prozess gegen Oracle die Oberhand