Ungepatchte Sicherheitslücke in Java 6 wird aktiv ausgenutzt
Wenige Monate nachdem End of Life von Java 6 kam, was kommen musste: Die Sicherheitslücke CVE-2013-2463, die im Juni 2013 in einem Patch für Java 7 geschlossen wurde, existiert auch in Java 6. Das Problem ist nun, dass noch sehr viele der laufenden Java-Laufzeitumgebungen (JRE) auf Version 6 basieren. Laut den Angaben von Wolfgang Kandek, dem CTO der Cloud-Sicherheits-Beraters Qualys, liege dies oft daran, dass aufgrund geschäftskritischer Anwendungen in Unternehmen das Update auf die JRE 7 verwehrt bleibt. F-Secure Senior Analyst Timo Hirvonen bringt das Problem nun aber auf den Punkt:
PoC for CVE-2013-2463 was released last week, now it’s exploited in the wild. No patch for JRE6… Uninstall or upgrade to JRE7 update 25.
— Timo Hirvonen (@TimoHirvonen) August 26, 2013
Das Dilemma wird verschärft, wenn man der Beobachtung des Informationweek-Reporters Mathew Schwartz Glauben schenkt. Er sagt, dass die in CVE-2013-2463 beschriebene Sicherheitslücke einer der Angriffsvektoren des Neutrino Exploit Kits ist, dessen Verbreitung in den vergangenen Monaten zunahm.
Wer also kann, der sollte seine Java-Version spätestens jetzt erneuern. Alternativen sind nur die Deinstallation oder die Isolierung der Systeme, auf denen die geschäftskritischen Anwendungen laufen müssen.
Mein Ratschlag (schon lange unverändert): Java-Plugin im Browser deaktivieren, denn das braucht kein Mensch mehr. In Unternehmen so konfigurieren, dass nur die wenigen Legacy-Applets ausgeführt werden.