Flächendeckend veraltetes Java

Für diese Untersuchung hat Websense Anfragen von mehreren Millionen Rechnern im ThreatSeeker Network analzsiert. 95 Prozent aller Rechner, auf denen Oracles Java installiert ist, nutzt eine veraltete und damit anfällige Version der Laufzeitumgebung.

Lediglich 5,53 Prozent aller Systeme waren mit einer aktuellen Version von Java SE ausgerüstet. Die Überwiegende Mehrzal nutzt dabei das Java 7 Update 17.

Angesichts der Vielzahl von Schwachstellen in Java sei es schwierig, die Laufzeitumgebung sowie das zugehörige Browser-Plug-in aktuell zu halten, heißt es weiter in der Studie. Hinzu komme, dass Java unabhängig vom bevorzugten Browser auf den neuesten Stand gebracht werden müsse. “Die meisten Versionen sind seit Monaten und sogar Jahren veraltet”, schreibt Websense. Das im Oktober 2009 veröffentlichte Update 19 für Java 6 entdeckte das Unternehmen noch auf 9,04 Prozent aller untersuchten Rechner.

75 Prozent aller Browser nutzen der Studie zufolge eine Java-Version, die mindestens sechs Monate alt ist. Bei fast zwei Dritteln sei Java seit mehr als einem Jahr veraltet und mehr als 50 Prozent seien seit mehr als zwei Jahren nicht mehr aktualisiert worden. “Und vergessen Sie bitte nicht, wenn Sie die Version 7 nicht haben – was auf 78,86 Prozent zutrifft -, wird Ihnen Oracle keine neuen Updates mehr zur Verfügung stellen, auch wenn neue Schwachstellen entdeckt werden”, erklärt Websense.

Viele Java-basierte Bedrohungen würden über Exploit Kits verbreitet. Die Analyse von mehreren Milliarden Browseranfragen habe gezeigt, dass 93,77 Prozent der Systeme anfällig seien für die Java-Schwachstelle CVE-2013-1493, die in Java 7 Update 15 und Java 6 Update 41 stecke. Der Anteil sei bei dieser Sicherheitslücke besonders hoch, weil es eine der aktuellsten sei.

Bei älteren Schwachstellen sinkt der Prozentsatz deutlich. 71,54 Prozent waren anfällig für die Lücke CVE-2012-4681, die in den im April 2012 veröffentlichten Versionen Java 7 Update 6 und Java 6 Update 34 steckt. Allerdings nimmt auch die Zahl der Exploit Kits, die Code für eine bestimmte Schwachstelle enthalten, zu. Bei CVE-2013-1493 ist es laut Websense nur das Exploit Kit “Cool”, während sich CVE-2012-4681 mit den vier Malware-Baukästen “Blackhole 2.0″, “RedKit”, “CritXPack” und “Gong Da” angreifen lässt.

Oracle selbst reagierte kürzlich auf die Update-Problematik mit der Einführung eines zusätzlichen regulären Patchdays. Mitte April wird das Unternehmen das nächste Sicherheitsupdate für Java SE bereitstellen. Ursprünglich wollte es erst im Juni wieder Löcher in der Laufzeitumgebung stopfen.

Erneut ist Oracle damit wegen Java in der Kritik. Mitte Februar hatte eine Java-Nutzergruppe den Hersteller wegen der Kooperation mit Ask und der damit zusammenhängenden Installation der Ask-Toolbar kritisiert. Diese werde dem Nutzer über Social Engineering Techniken untergejubelt.

Nur auf 5,53 Prozent aller Rechner läuft eine vollständig gepatchte Version von Java SE (Bild: Websense).

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

3 Tagen ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

3 Tagen ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

4 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

4 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

4 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

5 Tagen ago