Erneute Schwachstelle in Oracle Java 7 und Java 6 (aktiv ausgenützt)

1. März 2013

Wie der Security-Dienstleister FireEye berichtet, gibt es eine neue Zero-Day-Schwachstelle in den aktuellen Versionen von Oracle Java.

Das Java Browser-Plugin war schon 2012 der häufigste Grund für die Infektion von PCs. Die aktuelle Welle an weiteren Sicherheitsproblemen zwingt CERT.at, jetzt nicht nur vor der derzeit verwundbaren Version von Java zu warnen, sondern generell die grossflächige Verbreitung und Aktivierung des Java-Plugins in Frage zu stellen.

Beschreibung

Besucht ein User eine speziell präparierte Webseite ("Exploit-Pack") mit aktiviertem Java-Plugin, so lädt diese Schadcode nach und führt diesen aus. Entsprechender Exploit-Code ist bereits verbreitet, allerdings noch nicht sehr effizient - es ist aber zu erwarten, dass sich das bald ändert und "besserer" Exploit-Code bald grossflächig auf Webseiten verteilt wird.

Auswirkungen

Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Den aktuellen Meldungen nach ist Java 7 bis incl. Update 15 betroffen, und Java 6 bis inkl. Update 41.

Da die Java Runtime auf diversen Plattformen läuft, ist das Problem nicht auf Windows-PCs beschränkt, sondern trifft genauso auch Oracles Java-Browserplugins unter Apple OSX und Linux.

Abhilfe

Die sicherste Möglichkeit, einen PC/Mac vor dieser Serie an Schwachstellen in der Java Runtime zu schützen ist eine komplette Deinstallation von Java. Siehe dazu auch die Links/Tips in unserem letzten Warning bezüglich Oracle Java: https://www.cert.at/warnings/all/20130118.html.

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Blog-Eintrag bei FireEye (englisch)
http://blog.fireeye.com/research/2013/02/yaj0-yet-another-java-zero-day-2.html