Flächendeckend veraltetes Java

Das Sicherheitsunternehmen Websense warnt davor, dass 95 Prozent aller Rechner mit veralteten Java-Versionen laufen und damit auch erhebliche Sicherheitslücken aufweisen.

Für diese Untersuchung hat Websense Anfragen von mehreren Millionen Rechnern im ThreatSeeker Network analzsiert. 95 Prozent aller Rechner, auf denen Oracles Java installiert ist, nutzt eine veraltete und damit anfällige Version der Laufzeitumgebung.

Lediglich 5,53 Prozent aller Systeme waren mit einer aktuellen Version von Java SE ausgerüstet. Die Überwiegende Mehrzal nutzt dabei das Java 7 Update 17.

Angesichts der Vielzahl von Schwachstellen in Java sei es schwierig, die Laufzeitumgebung sowie das zugehörige Browser-Plug-in aktuell zu halten, heißt es weiter in der Studie. Hinzu komme, dass Java unabhängig vom bevorzugten Browser auf den neuesten Stand gebracht werden müsse. “Die meisten Versionen sind seit Monaten und sogar Jahren veraltet”, schreibt Websense. Das im Oktober 2009 veröffentlichte Update 19 für Java 6 entdeckte das Unternehmen noch auf 9,04 Prozent aller untersuchten Rechner.

 

 

75 Prozent aller Browser nutzen der Studie zufolge eine Java-Version, die mindestens sechs Monate alt ist. Bei fast zwei Dritteln sei Java seit mehr als einem Jahr veraltet und mehr als 50 Prozent seien seit mehr als zwei Jahren nicht mehr aktualisiert worden. “Und vergessen Sie bitte nicht, wenn Sie die Version 7 nicht haben – was auf 78,86 Prozent zutrifft -, wird Ihnen Oracle keine neuen Updates mehr zur Verfügung stellen, auch wenn neue Schwachstellen entdeckt werden”, erklärt Websense.

Viele Java-basierte Bedrohungen würden über Exploit Kits verbreitet. Die Analyse von mehreren Milliarden Browseranfragen habe gezeigt, dass 93,77 Prozent der Systeme anfällig seien für die Java-Schwachstelle CVE-2013-1493, die in Java 7 Update 15 und Java 6 Update 41 stecke. Der Anteil sei bei dieser Sicherheitslücke besonders hoch, weil es eine der aktuellsten sei.

Bei älteren Schwachstellen sinkt der Prozentsatz deutlich. 71,54 Prozent waren anfällig für die Lücke CVE-2012-4681, die in den im April 2012 veröffentlichten Versionen Java 7 Update 6 und Java 6 Update 34 steckt. Allerdings nimmt auch die Zahl der Exploit Kits, die Code für eine bestimmte Schwachstelle enthalten, zu. Bei CVE-2013-1493 ist es laut Websense nur das Exploit Kit “Cool”, während sich CVE-2012-4681 mit den vier Malware-Baukästen “Blackhole 2.0″, “RedKit”, “CritXPack” und “Gong Da” angreifen lässt.

Oracle selbst reagierte kürzlich auf die Update-Problematik mit der Einführung eines zusätzlichen regulären Patchdays. Mitte April wird das Unternehmen das nächste Sicherheitsupdate für Java SE bereitstellen. Ursprünglich wollte es erst im Juni wieder Löcher in der Laufzeitumgebung stopfen.

Erneut ist Oracle damit wegen Java in der Kritik. Mitte Februar hatte eine Java-Nutzergruppe den Hersteller wegen der Kooperation mit Ask und der damit zusammenhängenden Installation der Ask-Toolbar kritisiert. Diese werde dem Nutzer über Social Engineering Techniken untergejubelt.

 

Java-Studie von Websense

Nur auf 5,53 Prozent aller Rechner läuft eine vollständig gepatchte Version von Java SE (Bild: Websense).

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de