Skip to content

Ein 0-Day-Exploit der besonderen Art für Java 6

Geschrieben von Carsten Eilers am um 12:21

Timo Hirvonen von F-Secure hat auf Twitter gemeldet, dass ein Exploit für die Schwachstelle CVE-2013-2463 in Java 6 "in the wild" eingesetzt wird und mindestens im Neutrino Exploit-Kit enthalten ist.

Patch nur für zahlende Kunden

Die Schwachstelle wurde mit dem "Critical Patch Update" für Juni 2013 geschlossen, das Update ist aber nur für Java 7 allgemein zugänglich, da der kostenlose Support für Java 6 im April eingestellt wurde. Nur Kunden mit einem kostenpflichtigen Wartungsvertrag haben das Update auf die Version Java 6 Update 51 mit dem Patch für diese Schwachstelle erhalten. Die breite Masse der Java-6-Benutzer ist also angreifbar.

Die Geschichte des Exploits...

... ist kurz. Vor der Veröffentlichung des Exploits war am 19. August ein Proof of Concept für die Schwachstelle veröffentlicht worden. Vermutlich haben die Cyberkriminellen die Gelegenheit genutzt, und den PoC für ihre Zwecke angepasst. Weitere Informationen über den Exploit gibt es noch nicht, insbesondere ist nicht bekannt, was für Schadcode über die Schwachstelle verbreitet wird. Aber das ist eigentlich auch egal, jeder Schadcode ist unerwünscht.

0-Day-Schwachstelle - ja oder nein?

Eine 0-Day-Schwachstelle ist eine Schwachstelle, die ausgenutzt wird, bevor es einen Patch gibt. Das trifft in diesem Fall nicht zu, es gibt ja einen Patch - nur eben nicht für die Mehrzahl die Benutzer, die keinen Wartungsvertrag mit Oracle haben. Es ist also falsch, von einer 0-Day-Schwachstelle zu reden. Für die betroffenen Benutzer ohne Wartungsvertrag ist es allerdings schon eine Art 0-Day-Schwachstelle.

Vielleicht sollte sich mal jemand einen Namen für solche Schwachstellen ausdenken, denn es wird sicher noch mehr davon geben. Nicht nur in Java 6, denn im April 2014 stellt Microsoft die Veröffentlichung von Patches für Windows XP und Office 2003 ein. Da auch die Nachfolger von Windows XP und Office 2003 Code aus diesen Versionen einsetzen, werden die Cyberkriminellen sicher die Gelegenheit nutzen und alle neu veröffentlichten Patches daraufhin untersuchen, ob die behobenen Schwachstellen nicht auch in Windows XP oder Office 2003 vorhanden sind.

Und nun?

Wenn Sie noch Java 6 verwenden, sollten Sie es durch Java 7 ersetzen, da nur diese Version weiter kostenlos unterstützt wird. Und falls Sie es noch nicht getan haben, sollten Sie das Java-Plugin im Webbrowser ausschalten, sofern Sie es nicht brauchen.

Carsten Eilers

Trackbacks

Keine Trackbacks