[Warning] Erneute Schwachstelle in Oracle Java 7
Otmar Lendl
lendl at cert.at
Fri Jan 18 18:05:54 CET 2013
18. Jänner 2013
Beschreibung
Nur vier Tage, nachdem Oracle mit Java 7u11 kritische Fehler gefixt
hat, wurde die nächste Schwachstelle in Java 7 bestätigt [10].
Es ist davon auszugehen, dass diese bereits für Angriffe auf
Webbrowser eingesetzt wird. Eine Reaktion von Oracle steht noch aus.
Das Java Browser-Plugin war schon 2012 der häufigste Grund[1] für die
Infektion von PCs. Die aktuelle Welle an weiteren Sicherheitsproblemen
zwingt CERT.at, jetzt nicht nur vor der derzeit verwundbaren Version
von Java zu warnen, sondern generell die großflächige Verbreitung und
Aktivierung des Java-Plugins in Frage zu stellen.
Besucht ein User eine speziell präparierte Webseite ("Exploit-pack")
mit aktiviertem Java-Plugin, so lädt diese Schadcode nach und führt
diesen aus. Der Exploit-Code wird bereits in Untergrund-Foren
gehandelt. Es steht zu erwarten, dass er bald auch in die üblichen
Exploit-Packs integriert wird.
Auswirkungen
Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen
Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie
alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und
Systeme gefährdet.
Betroffene Systeme
Den aktuellen Meldungen nach ist Java 7 bis incl. Update 11 betroffen.
Ob das auch für Java 6 gilt, ist uns derzeit nicht bekannt.
Da die Java Runtime auf diversen Plattformen läuft, ist das Problem
nicht auf Windows-PCs beschränkt, sondern trifft genauso auch Oracles
Java-Browserplugins unter Apple OSX und Linux.
Abhilfe
* Die sicherste Möglichkeit, einen PC/Mac vor dieser Serie an
Schwachstellen in der Java Runtime zu schützen, ist eine komplette
Deinstallation von Java.
* Benötigt ein lokales Programm Java (etwa lokale
Business-Applikationen, OpenOffice, diverse Fotobuch-Software,
...), dann kann man immer noch das Browser-Plugin nicht aktivieren.
Detaillierte Hinweise und Anleitungen dazu findet man bei:
[2] heise.de
[3] Sophos
[4] Brian Krebs
[5] Infoworld
* Wenn man auf das Java-Plugin wirklich angewiesen ist, so gibt es
zwei Varianten, es trotzdem einigermaßen sicher zu verwenden:
+ Zwei-Browser Strategie: Ein Browser (etwa Chrome) wird für das
normale Webbrowsen im Internet benutzt, in diesem wird das
Java-Applet deaktiviert. Braucht man -- etwa für firmeninterne
Applikationen -- das Plugin, so nimmt man dafür einen anderen
Browser (etwa den IE), in dem das Plugin aktiv ist.
+ Manuelle Freigabe: Manche Browser lassen sich (zum Teil
mittels Erweiterungen) so konfigurieren, dass sie Java-Applets
erst nach einer Nachfrage beim Benutzer starten.
* Im Kontext von Firmennetzen kann man sich auch überlegen, wie sehr
man nicht am Proxy/ContentFilter den Download von Java-Applets
generell unterbindet. Eine Whitelist von unbedingt nötigen externen
Seiten, die Java brauchen, lässt sich dort auch meist einrichten.
Kontext
In der internationalen IT Sicherheits-Community hat sich ein Konsens
herausgebildet, dass es nicht mehr tragbar ist, dass das Java-Applet
per Default in allen Browsern aktiv ist. Siehe dazu etwa:
US-CERT [6]
This and previous Java vulnerabilities have been widely targeted
by attackers, and new Java vulnerabilities are likely to be
discovered. To defend against this and future Java
vulnerabilities, consider disabling Java in web browsers until
adequate updates are available. As with any software,
unnecessary features should be disabled or removed as
appropriate for your environment.
CERT-CC [7]
Unless it is absolutely necessary to run Java in web browsers,
disable it as described below, even after updating to 7u11. This
will help mitigate other Java vulnerabilities that may be
discovered in the future.
BSI [7] (noch bzgl. des letzten Bugs)
Das BSI steht bezüglich der aktuellen Schwachstelle in Kontakt
mit der Firma Oracle, dem Hersteller der Java-Laufzeitumgebung.
Ein Sicherheitsupdate des Herstellers liegt derzeit nicht vor.
Daher rät das BSI allen Internetnutzern zu prüfen, ob Java für
die Arbeit am Rechner tatsächlich benötigt wird. Ist dies nicht
der Fall, sollte Java über die Systemsteuerung deinstalliert
werden, bis ein Sicherheitsupdate vorliegt. Wird Java außerhalb
des Browsers dringend benötigt, sollten zumindest die Java
Browser-Plugins für das Surfen im Internet deaktiviert und nur
zeitweise für die Durchführung einzelner Anwendungen aktiviert
werden.
Infoworld [9]
Gruman suggests one step in weaning our current operating
systems and apps off Java is for the feds to designate
non-Java-free operating systems as noncompliant with security
standards for gaining or renewing government contracts. "Loss of
income is the motivation that vendors and developers need," he
writes. Hit 'em in the bottom line. We can't afford to tolerate
the Java problem anymore.
Hinweise
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
References
1.
https://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/ENISA_Threat_Landscape/view
2. http://www.heise.de/security/dienste/Java-403125.html
3. http://nakedsecurity.sophos.com/2012/08/30/how-turn-off-java-browser/
4. https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/
5.
https://www.infoworld.com/t/web-browsers/how-disable-java-in-your-browsers-210882
6. https://www.us-cert.gov/cas/techalerts/TA13-010A.html
7. http://www.kb.cert.org/vuls/id/625617
8.
https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2013/Krit_Schwachstelle_Java-7-10_11012013.html
9.
https://www.infoworld.com/t/security/why-the-java-threat-rang-every-alarm-211061?source=IFWNLE_nlt_firstlook_2013-01-18
10. http://seclists.org/fulldisclosure/2013/Jan/142
--
// CERT Austria - Otmar Lendl <lendl at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 711
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 196 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20130118/237d8f16/attachment.sig>
More information about the Warning
mailing list