Update: "Zero-Day"-Sicherheitslücke in Oracle Java (aktiv ausgenützt) - Patches jetzt verfügbar
13. Juli 2015
Update 15. Juli 2015
Oracle Java 1.6 und 1.7 sind nicht betroffen, wir können aber angesichts der in 1.8.x behobenen anderen Security-Probleme nur von "Downgrades" abraten. Da die Java Runtime auf diversen Plattformen läuft, ist das Problem vermutlich nicht auf Windows-PCs beschränkt, sondern trifft potentiell genauso auch Oracles Java-Browserplugins unter Apple OSX und Linux.
Sollten wir zu einem späteren Zeitpunkt über mehr Informationen verfügen, werden wir diese Warnung entsprechend aktualisieren - die aktuelle Version ist immer via https://cert.at/ abrufbar. Die sicherste Möglichkeit, einen PC/Mac vor Schwachstellen in der Java Runtime zu schützen ist eine komplette Deinstallation von Oracle Java. Siehe dazu auch die Links/Tipps in einer unserer früheren Warnungen bezüglich Oracle Java: https://www.cert.at/warnings/all/20130118.html.
Die "Click-to-Play"-Funktionen aktueller Internet Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.
Informationsquelle(n):
Blog-Eintrag von Trend Micro (englisch)
http://blog.trendmicro.com/trendlabs-security-intelligence/pawn-storm-update-trend-micro-discovers-new-java-zero-day-exploit/
Oracle Security Blog zum Critical Patch Update July 2015 (englisch)
https://blogs.oracle.com/security/entry/july_2015_critical_patch_update
Übersicht zum "Critial Patch Update July 2015" (englisch)
http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
Beschreibung
Wie der Security-Dienstleister Trend Micro berichtet, gibt es eine neue Zero-Day-Schwachstelle in der aktuellen Version von Oracle Java. Diese Lücke wird auch bereits ausgenützt.Auswirkungen
Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN, Fileshare etc.) Daten und Systeme gefährdet.Betroffene Systeme
Den aktuellen Meldungen nach ist Oracle Java bis inkl. 1.8.0.45 betroffen.Oracle Java 1.6 und 1.7 sind nicht betroffen, wir können aber angesichts der in 1.8.x behobenen anderen Security-Probleme nur von "Downgrades" abraten. Da die Java Runtime auf diversen Plattformen läuft, ist das Problem vermutlich nicht auf Windows-PCs beschränkt, sondern trifft potentiell genauso auch Oracles Java-Browserplugins unter Apple OSX und Linux.
Abhilfe
Momentan existieren noch keine entsprechenden Patches seitens des Herstellers.Sollten wir zu einem späteren Zeitpunkt über mehr Informationen verfügen, werden wir diese Warnung entsprechend aktualisieren - die aktuelle Version ist immer via https://cert.at/ abrufbar. Die sicherste Möglichkeit, einen PC/Mac vor Schwachstellen in der Java Runtime zu schützen ist eine komplette Deinstallation von Oracle Java. Siehe dazu auch die Links/Tipps in einer unserer früheren Warnungen bezüglich Oracle Java: https://www.cert.at/warnings/all/20130118.html.
Update 15. Juli 2015
Wie Oracle in einem Blog-Eintrag berichtet, gibt es nun eine entsprechend angepasste Version von Oracle Java SE (auf Version 8 Update 51).
In diesem Blog-Eintrag ist auch eine CVE-Nummer (CVE-2015-2590) zu diesem Problem angeführt, sowie eine Bewertung dazu mit einem CVSS2 Base Score von 10.0. Weitere behobene Probleme mit einem CVSS2 Base Score von 9.0 oder höher:
Wie Oracle in einem Blog-Eintrag berichtet, gibt es nun eine entsprechend angepasste Version von Oracle Java SE (auf Version 8 Update 51).
In diesem Blog-Eintrag ist auch eine CVE-Nummer (CVE-2015-2590) zu diesem Problem angeführt, sowie eine Bewertung dazu mit einem CVSS2 Base Score von 10.0. Weitere behobene Probleme mit einem CVSS2 Base Score von 9.0 oder höher:
- CVE-2015-4760
- CVE-2015-2628
- CVE-2015-4731
- CVE-2015-4732
- CVE-2015-4733
- CVE-2015-2638
- CVE-2015-4736
Hinweise
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Die "Click-to-Play"-Funktionen aktueller Internet Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.
Informationsquelle(n):
Blog-Eintrag von Trend Micro (englisch)
http://blog.trendmicro.com/trendlabs-security-intelligence/pawn-storm-update-trend-micro-discovers-new-java-zero-day-exploit/
Oracle Security Blog zum Critical Patch Update July 2015 (englisch)
https://blogs.oracle.com/security/entry/july_2015_critical_patch_update
Übersicht zum "Critial Patch Update July 2015" (englisch)
http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html