Exploit für ungepatchte Lücke in Java 6 aufgetaucht
Ein Werkzeug enthält Code, der eine seit Juni bekannte Lücke in Java 6 ausnutzt. Oracle hat die Wartung für diese Version eingestellt, die sich jedoch noch häufig im Einsatz befindet.
- Christian Kirsch
Für eine nicht näher beschriebene Lücke (CVE-2013-2463) in Java 6 und 5 soll jetzt ein Exploit verfügbar sein, der etwa im Neutrino Kit bereits eingebaut ist. Das berichtet Timo Hirvonen, ein Mitarbeiter der Sicherheitsfirma F-Secure, bei Twitter. Oracle hat die Wartung für diese Java-Versionen eingestellt. Schätzungen über den aktuellen Anteil von Version 6 an den Java-Installationen liegen zwischen 30 und 50 Prozent.
Mit seinem letzten Patch-Update vom Juni 2013 hat das Unternehmen die Schwachstelle zwar in allen betroffenen Java-Versionen geschlossen, das Update steht jedoch nur für Version 7 allgemein zur Verfügung. Nutzer der älteren, aber noch weit verbreiteten Version 6 müssen mit der Schwachstelle leben oder ihre Software aktualisieren. Es sei denn, sie haben einen kostenpflichtigen Wartungsvertrag abgeschlossen, der ihnen Zugriff auf Java 6u51 gibt.
Der in den 2D-Grafik-Komponenten steckende Bug betrifft nur Applets, also im Browser ausgeführte Java-Anwendungen, und von Webstart ausgeführte Programme. Die in Unternehmen weit verbreiteten Server-Installationen von Java sollen also nicht gefährdet sein. (ck)
