zurück zum Artikel

Ein Werkzeug enthält Code, der eine seit Juni bekannte Lücke in Java 6 ausnutzt. Oracle hat die Wartung für diese Version eingestellt, die sich jedoch noch häufig im Einsatz befindet.

Für eine nicht näher beschriebene Lücke (CVE-2013-2463 [1]) in Java 6 und 5 soll jetzt ein Exploit verfügbar sein, der etwa im Neutrino Kit [2] bereits eingebaut ist. Das berichtet [3] Timo Hirvonen, ein Mitarbeiter der Sicherheitsfirma F-Secure, bei Twitter. Oracle hat die Wartung für diese Java-Versionen eingestellt. Schätzungen über den aktuellen Anteil von Version 6 an den Java-Installationen liegen zwischen 30 und 50 Prozent.

Mit seinem letzten Patch-Update vom Juni 2013 hat das Unternehmen die Schwachstelle zwar in allen betroffenen Java-Versionen geschlossen [4], das Update steht jedoch nur für Version 7 allgemein zur Verfügung. Nutzer der älteren, aber noch weit verbreiteten Version 6 müssen mit der Schwachstelle leben oder ihre Software aktualisieren. Es sei denn, sie haben einen kostenpflichtigen Wartungsvertrag abgeschlossen, der ihnen Zugriff auf Java 6u51 gibt.

Der in den 2D-Grafik-Komponenten steckende Bug betrifft nur Applets, also im Browser ausgeführte Java-Anwendungen, und von Webstart ausgeführte Programme. Die in Unternehmen weit verbreiteten Server-Installationen von Java sollen also nicht gefährdet sein. (ck [5])

URL dieses Artikels:
https://www.heise.de/-1944261

Links in diesem Artikel:
[1] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2463
[2] http://malwaremustdie.blogspot.de/2013/06/knockin-on-neutrino-exploit-kits-door.html
[3] https://twitter.com/TimoHirvonen/status/371954767838208001
[4] https://www.heise.de/news/40-Fehler-weniger-in-Java-SE-1892061.html
[5] mailto:ck@ix.de

Copyright © 2013 Heise Medien