Zero-Day-Exploit für Java 6: Oracle patcht diese Version nicht mehr

Originalartikel von Gelo Abendan, Technical Communications

Es gibt Berichte über einen aktiven Exploit, der eine nicht gepatchte Sicherheitslücke in Java 6 ausnützt. Dagegen hilft ein Upgrade auf die neueste Java-Version – doch für manche Anwender ist das leichter gesagt als getan.

Besagter Exploit, den Trend Micro als JAVA_EXPLOIT.ABC identifiziert hat, zielt auf CVE-2013-2463, eine Lücke, die Oracle im Juni letzten Jahres geschlossen hat. Doch auch Java 6 ist davon betroffen, und der Anbieter unterstützt diese Version bereits seit April 2013 nicht mehr. Hinzu kommt, dass die Kriminellen den Exploit in das Neutrino Exploit Kit integriert haben. Die Bedrohung war bekannt dafür, Ransomware-Varianten zu verteilen, die wichtige Dateien und häufig auch das gesamte befallene System sperren, bis der Betroffene eine „Gebühr“ für die Freigabe entrichtet.

Oracle hat offenbar nicht vor, einen Patch für die Sicherheitslücke in der nicht mehr unterstützten Version zu veröffentlichen. Da immer noch mehr als 50 Prozent der Nutzer Java 6 im Einsatz haben, kann dies zu ernsthaften Problemen führen, bietet die Schwachstelle doch Cyberkriminellen ein effizientes Mittel, einschließlich des Neturino Exploit Kits und Ransomware-Varianten, für Angriffe auf Unternehmen und einzelne Anwender.

Die Gefahr für normale Internet-Nutzer scheint nicht so hoch zu sein wie die für Unternehmen, die nicht in der Lage sind, ihre Systeme schnell mit der neuesten Software-Version zu aktualisieren.

Diese Situation ist auch ein Fingerzeig darauf, was passieren könnte, wenn Microsoft im April 2014 die Unterstützung für Windows XP einstellt.

Trend Micros Lösungen, einschließlich des Web Reputation Service und Titanium 2013 bieten den Anwendern Schutz vor dieser Bedrohung, ohne dass ein Update aufgespielt werden muss.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*