Java-6-Lücke wird ausgenutzt

Der noch recht junge Angriffsbaukasten “Neutrino Exploit Kit” ist dafür bekannt, dass damit präparierte Web-Seiten Ransomware verbreiten. Das ist Erpresser-Malware, die den Rechner blockiert, um eine Art Lösegeld zu erpressen. Wie der Antivirushersteller Trend Micro in seinem Blog berichtet, haben die Neutrino-Programmierer Exploit-Code für die Java-Sicherheitslücke CVE-2013-2463 in das Arsenal dieses Baukastensystems integriert. Die Schwachstelle betrifft Java 7, 6 und 5. Die fragliche Schwachstelle steckt in der Komponente Java 2D, auf der zahlreiche Grafikoperationen beruhen. Der Fehler führt zu einer Speicherbeeinträchtigung und kann ausgenutzt werden, um beliebigen Code einzuschleusen und auszuführen. Dieser Code lädt dann die eigentliche Malware herunter. Oracle hat diese Lücke beim letzten Java Patch Day am 18. Juni geschlossen – doch ein entsprechendes Update ist nur für Java 7 (1.7.0_25, 7u25) allgemein verfügbar. Java 5 und 6 werden nicht mehr unterstützt. Dies bedeutet bei Java, dass nur noch zahlende Kunden (Java for Business) Sicherheits-Updates für die alten Java-Generationen erhalten. In diesem Fall wäre das etwa das Update auf die Version 1.6.0_51 (Java 6 Update 51, 6u51) oder Java 5.0 Update 51 (1.5.0_51). Wer Java 7 nutzt und dessen Java-Installation auf dem Stand Java 7 Update 25 ist, braucht sich zumindest um diese Lücke keine Sorgen zu machen. Wer hingegen noch Java 6 installiert und keinen Zugriff auf kostenpflichtige Updates hat, sollte prüfen, was gegen einen Wechsel auf Java 7 spricht. In Unternehmen sind es oft hausinterne Anwendungen, die auf eine bestimmte Java-Version angewiesen sind. Nach dem Prinzip “Never touch a running system” (“Wenn es läuft: nicht anfassen!”) ist man beim Thema Upgrades eher konservativ. Schätzungen gehen davon aus, dass etwa 50 Prozent der Nutzer noch mit Java 6 arbeiten (oder spielen, etwa Mindcraft).