Kein Patch für Sicherheitslücke in Java 6

Ein Java-Exploit, der mittlerweile aktiv ausgenutzt wird, gefährdet Anwender, die noch Java 6 verwenden. Diese Version wird von Oracle seit Februar 2013 nicht mehr unterstützt, Support für Java 6 erhalten nur noch zahlende Kunden. In Java 7 ist die Lücke seit dem Critical Patch Update vom Juni 2013 geschlossen.

Die unter dem CVE-Eintrag 2013-2463 eingetragene Sicherheitslücke besteht in der Subkomponente Java 2D. Ein Proof of Concept für die Lücke wurde letzte Woche veröffentlicht, woraufhin diese sofort aktiv ausgenutzt wurde, wie Matthew Schwartz auf InformationWeek Securitiy berichtet. Ein im März 2013 erstmals aufgetauchtes Exploit-Kit namens Neutrino hat den Exploit bereits integriert.

Das letzte Mal, dass Oracle Java-6-Patches herausgab, war mit dem Upgrade zu Java 6u45 im April 2013. Zwar erhielt Java 6u51 den Patch für die hier beschriebene Lücke, diese Version ist aber nur für Kunden mit einem Premier-Support-Vertrag bestimmt. Wolfgang Kandek von der Sicherheitsfirma Qualys bestätigt, dass laut Statistiken vom März 2013 in Unternehmen der Einsatz von Java 6 noch bei rund 30 Prozent liegt, während er bei allen Java-Installationen heute noch bei fast 50 Prozent vermutet wird.

Es wird dringend geraten, auf Java 7 umzusteigen. Anwender, die weiterhin auf Java 6 angewiesen sind, sollten zumindest in ihrem Browser nur noch vertrauenswürdige Java-Applets zulassen. Anwender von OpenJDK 7 und den IcedTea-6-Versionen 1.11.12, 1.12.6, sowie IcedTea 7 2.1.9, 2.2.9, 2.3.10 und 2.4.1 sind dagegen auf der sicheren Seite, da die Lücke dort von Red Hat bereits im Juni geschlossen wurde.