Das weit verbreitete Java 6 von Oracle enthält eine ungepatche Sicherheitslücke, die aktiv von Hackern ausgenutzt wird. Seit April 2013 wird diese Version von dem Hersteller aber nicht mehr supportet. Nur für Java 7 wurde ein Patch bereitgestellt.
Es handelt sich um den Exploit mit der Bezeichung CVE-2013-2463. Von dem Sicherheitsleck sind nur die Versionen 5 und 6 von Java betroffen. Bei Java 7 wurde diese Sicherheitslücke im Juni 2013 bereits geschlossen. Oracle supportet seit April 2013 aber Java 6 nicht mehr. Experten rechnen damit, dass es sich bei mehr als 50 Prozent der Java-Installationen um die Version 6 handelt.
Die Sicherheitslücke wurde von Oracle bestätigt. Das Unternehmen listet die betroffenen Versionen auf seiner Webseite auf. Es handelt sich um das JDK und JRE 6 inklusive Update 45, JDK und JRE 5.0 inklusive Update 45 und JavaFX bis Version 2.2.21.
Das Update 22 vom JDK und JRE inklusive JavaFX hat die Sicherheitslücke bei Java 7 geschlossen. Oracle hat bisher aber noch keine Details zu diesem Exploit veröffentlicht.
Nur ein CVE-Eintrag in der National Vunerability Database liefert Details zu der Sicherheitslücke. Es kann über eine manipulierte 2D-Komponente die Sandbox im Java-Client umgangen werden, weil deren Attribute nicht ausreichend verifiziert werden. Diverse Patches für JavaFX stehen bereit.
Wir raten zum Update auf Java 7. Wer auf Java 6 angewiesen ist, sollte seine Sicherheitseinstellungen im Internet Explorer so einstellen, dass nur noch bekannte Java-Applets im Browser ausgeführt werden.
Wer auf Java im Internet verzichten kann, sollte die Ausführung im Browser ganz deaktivieren.