Update - Kritische Zero-Day Schwachstelle in Oracle Java 7

10. Jänner 2013
Update: 14. Jänner 2013

Ein Malware-Forscher mit dem Pseudonym kafeine hat einen Exploit entdeckt, der eine bislang unbekannte Schwachstelle in Oracle Java ausnutzt. CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wird ein User auf eine speziell präparierte Webseite geleitet, kann sein System durch diese Schwachstelle mit Schadcode infiziert werden. Der Exploit-Code wurde auf Pastebin veröffentlicht und es existieren bereits entsprechende Module für die Exploit-Kits Blackhole und Nuclear Pack.

Auswirkungen

Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Derzeit ist noch nicht klar, welche Systeme wirklich betroffen sind. Laut heise.de sind alle Versionen von Java 7 einschliesslich der aktuellen Version Update 10 betroffen. Die Researcher von AlienVault demonstrierten das auf einem vollständig gepatchten Windows-System.
Ob auch Java 6 betroffen ist, ist uns derzeit nicht bekannt.

Abhilfe

Bis ein Patch zur Verfügung gestellt wird, empfiehlt CERT.at, soweit möglich die Oracle Java-Plugins in allen Browsern zu deaktivieren.

Update:
Oracle hat mittlerweile Java 7 Update 11 veröffentlicht.
CERT.at empfiehlt, dieses Update so schnell wie möglich einzuspielen.

Download: http://www.java.com/de/download/manual.jsp
Oracle Security Alert: http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Malware don't need Coffee
malware.dontneedcoffee.com/
Exploit-Code auf Pastebin
pastebin.com/7R8XWq3d
Heise Security Meldung
www.heise.de/security/meldung/Gefaehrliche-Luecke-in-aktueller-Java-Version-1780850.html
Krebs on Security: How to Unplug Java from the Browser
krebsonsecurity.com/how-to-unplug-java-from-the-browser/
Download Java 7 Update 11
www.java.com/de/download/manual.jsp
Oracle Security Alert CVE-2013-0422
www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html