Update - Zero-Day Schwachstelle in Oracle Java 7

27. August 2012
Update: 30. August 2012

Der Sicherheitsexperte Atif Mushtaq von FireEye hat eine Zero-Day Sicherheitslücke in Oracle Java entdeckt, welche auch bereits aktiv ausgenutzt wird. CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wird ein User auf eine speziell präparierte Webseite geleitet, kann sein System durch diese Schwachstelle mit Schadcode infiziert werden. Anfangs wurden nur gezielte Angriffe festgestellt, mittlerweile existiert auch ein ensprechendes Modul für das Metasploit Framework.

Auswirkungen

Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Derzeit ist noch nicht klar, welche Systeme wirklich betroffen sind. Laut heise.de sind alle Versionen von Java 7 bis Update 6 auf Windows 7 (inkl. SP1) betroffen.
Andere Quellen hingegen sprechen nur von folgenden Systemen:
  • Mozilla Firefox auf Ubuntu Linux 10.04
  • Internet Explorer / Mozilla Firefox / Chrome auf Windows XP
  • Internet Explorer / Mozilla Firefox auf Windows Vista
  • Internet Explorer / Mozilla Firefox auf Windows 7

Abhilfe

Bis ein Patch zur Verfügung gestellt wird, empfiehlt CERT.at, soweit möglich die Java-Plugins in allen Browsern zu deaktivieren.

Update:
Wie soeben bekannt wurde, hat Oracle nun anscheinend doch auf die aktuellen Probkeme mit Java reagiert, und Java 7 Update 7 veröffentlicht.
CERT.at empfiehlt, dieses Update so schnell wie möglich einzuspielen.

Download: http://www.java.com/de/download/manual.jsp
Oracle Security Alert: http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-verbose-1835710.html

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

FireEye Blog
blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html
Heise Security Meldung
www.heise.de/security/meldung/Warnung-vor-kritischer-Java-Luecke-1675454.html
US-CERT HowTo Browser-Security
www.us-cert.gov/reading_room/securing_browser/
Download Java 7 Update 7
http://www.java.com/de/download/manual.jsp
Oracle Security Alert CVE-2012-4681
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-verbose-1835710.html