Websense: 95 Prozent aller Java-Installationen sind anfällig

Websense zufolge läuft auf 95 Prozent aller Rechner, auf denen Oracles Java installiert ist, eine veraltete und damit anfällige Version der Laufzeitumgebung. Das Sicherheitsunternehmen hat dafür nach eigenen Angaben Anfragen von mehreren zehn Millionen Computern in seinem ThreatSeeker Network untersucht. Nur auf 5,53 Prozent aller Systeme befand sich zu dem Zeitpunkt eine aktuelle Version von Java SE (Java 7 Update 17: 5,17 Prozent, Java 6 Update 43: 0,36 Prozent).

Angesichts der Vielzahl von Schwachstellen in Java sei es schwierig, die Laufzeitumgebung sowie das zugehörige Browser-Plug-in aktuell zu halten, heißt es weiter in der Studie. Hinzu komme, dass Java unabhängig vom bevorzugten Browser auf den neuesten Stand gebracht werden müsse. „Die meisten Versionen sind seit Monaten und sogar Jahren veraltet“, schreibt Websense. Das im Oktober 2009 veröffentlichte Update 19 für Java 6 entdeckte das Unternehmen noch auf 9,04 Prozent aller untersuchten Rechner.

75 Prozent aller Browser nutzen der Studie zufolge eine Java-Version, die mindestens sechs Monate alt ist. Bei fast zwei Dritteln sei Java seit mehr als einem Jahr veraltet und mehr als 50 Prozent seien seit mehr als zwei Jahren nicht mehr aktualisiert worden. „Und vergessen Sie bitte nicht, wenn Sie die Version 7 nicht haben – was auf 78,86 Prozent zutrifft -, wird Ihnen Oracle keine neuen Updates mehr zur Verfügung stellen, auch wenn neue Schwachstellen entdeckt werden“, erklärt Websense.

Viele Java-basierte Bedrohungen würden über Exploit Kits verbreitet. Die Analyse von mehreren Milliarden Browseranfragen habe gezeigt, dass 93,77 Prozent der Systeme anfällig seien für die Java-Schwachstelle CVE-2013-1493, die in Java 7 Update 15 und Java 6 Update 41 stecke. Der Anteil sei bei dieser Sicherheitslücke besonders hoch, weil es eine der aktuellsten sei.

Bei älteren Schwachstellen sinkt der Prozentsatz deutlich. 71,54 Prozent waren anfällig für die Lücke CVE-2012-4681, die in den im April 2012 veröffentlichten Versionen Java 7 Update 6 und Java 6 Update 34 steckt. Allerdings nimmt auch die Zahl der Exploit Kits, die Code für eine bestimmte Schwachstelle enthalten, zu. Bei CVE-2013-1493 ist es laut Websense nur das Exploit Kit „Cool“, während sich CVE-2012-4681 mit den vier Malware-Baukästen „Blackhole 2.0“, „RedKit“, „CritXPack“ und „Gong Da“ angreifen lässt.

Oracle selbst reagierte kürzlich auf die Update-Problematik mit der Einführung eines zusätzlichen regulären Patchdays. Mitte April wird das Unternehmen das nächste Sicherheitsupdate für Java SE bereitstellen. Ursprünglich wollte es erst im Juni wieder Löcher in der Laufzeitumgebung stopfen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de