Ongepatcht lek in Java 6 actief misbruikt

Abonneer je gratis op Techzine!

Een beveiligingslek in Java 6 wordt actief misbruikt. Er is weliswaar een patch voor beschikbaar, maar deze is alleen beschikbaar voor grote organisaties tegen betaling.

Dit is het geval omdat de ondersteuning voor Java 6 sinds april dit jaar is verlopen. Hierdoor brengt Oracle geen patches meer voor die versie uit, tenzij klanten hun portemonnee trekken. Het gaat om het lek CVE-2013-2463 dat aanwezig is in Java 6 update 45. Iedereen met die versie of ouder van Java wordt aanbevolen te updaten naar Java 7 of Java compleet te verwijderen.

Oracle heeft wel een patch klaar staan, in de vorm van Java 6 Update 51. Deze is alleen tegen betaling en ook nog eens alleen voor grote organisaties beschikbaar. Java 6 is echter nog geïnstalleerd op tientallen miljoenen pc’s waaronder ook thuisgebruikers en kleine bedrijven aanwezig zijn. In totaal heeft Java 6 een aandeel van 21 procent, wat het een aanzienlijke aanvalsvector maakt.

Er wordt nu namelijk actief misbruik van lek CVE-2013-2463 gemaakt. In de Neutrino-exploitkit is het lek opgedoken, zo meldt F-Secure. Dit heeft tot gevolg dat het zeer eenvoudig is een website te fabriceren die de gebruiker met malware besmet, indien die gebruiker Java 6 heeft ingeschakeld in de browser.

Dit is overigens niet het eerste ongepatchte lek in Java 6 dat nu actief misbruikt wordt. Hetzelfde geldt voor CVE-2013-2465 waarvan eerder deze maand werd ontdekt dat het aanwezig is in een exploittoolkit.

Voor OS X-gebruikers die Java 6 hebben geïnstalleerd ligt het overigens iets anders, gezien dan Apple verantwoordelijk is voor de updates. In de laatste patch van 18 juni voor Java is het betreffende lek dat nu wordt misbruikt reeds gedicht door Apple.