Ungepatchte Sicherheitslücke in Java 6 wird aktiv ausgenutzt

Wenige Monate nachdem End of Life von Java 6 kam, was kommen musste: Die Sicherheitslücke CVE-2013-2463, die im Juni 2013 in einem Patch für Java 7 geschlossen wurde, existiert auch in Java 6. Das Problem ist nun, dass noch sehr viele der laufenden Java-Laufzeitumgebungen (JRE) auf Version 6 basieren. Laut den Angaben von Wolfgang Kandek, dem CTO der Cloud-Sicherheits-Beraters Qualys, liege dies oft daran, dass aufgrund geschäftskritischer Anwendungen in Unternehmen das Update auf die JRE 7 verwehrt bleibt. F-Secure Senior Analyst Timo Hirvonen bringt das Problem nun aber auf den Punkt:

PoC for CVE-2013-2463 was released last week, now it’s exploited in the wild. No patch for JRE6… Uninstall or upgrade to JRE7 update 25.

— Timo Hirvonen (@TimoHirvonen) August 26, 2013

Das Dilemma wird verschärft, wenn man der Beobachtung des Informationweek-Reporters Mathew Schwartz Glauben schenkt. Er sagt, dass die in CVE-2013-2463 beschriebene Sicherheitslücke einer der Angriffsvektoren des Neutrino Exploit Kits ist, dessen Verbreitung in den vergangenen Monaten zunahm.

Wer also kann, der sollte seine Java-Version spätestens jetzt erneuern. Alternativen sind nur die Deinstallation oder die Isolierung der Systeme, auf denen die geschäftskritischen Anwendungen laufen müssen.