[Warning] Erneute Schwachstelle in Oracle Java 7

Otmar Lendl lendl at cert.at
Fri Jan 18 18:05:54 CET 2013


18. Jänner 2013

Beschreibung

   Nur vier Tage, nachdem Oracle mit Java 7u11 kritische Fehler gefixt
   hat, wurde die nächste Schwachstelle in Java 7 bestätigt [10].
   Es ist davon auszugehen, dass diese bereits für Angriffe auf
   Webbrowser eingesetzt wird. Eine Reaktion von Oracle steht noch aus.

   Das Java Browser-Plugin war schon 2012 der häufigste Grund[1] für die
   Infektion von PCs. Die aktuelle Welle an weiteren Sicherheitsproblemen
   zwingt CERT.at, jetzt nicht nur vor der derzeit verwundbaren Version
   von Java zu warnen, sondern generell die großflächige Verbreitung und
   Aktivierung des Java-Plugins in Frage zu stellen.

   Besucht ein User eine speziell präparierte Webseite ("Exploit-pack")
   mit aktiviertem Java-Plugin, so lädt diese Schadcode nach und führt
   diesen aus. Der Exploit-Code wird bereits in Untergrund-Foren
   gehandelt. Es steht zu erwarten, dass er bald auch in die üblichen
   Exploit-Packs integriert wird.

Auswirkungen

   Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen
   Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie
   alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und
   Systeme gefährdet.

Betroffene Systeme

   Den aktuellen Meldungen nach ist Java 7 bis incl. Update 11 betroffen.
   Ob das auch für Java 6 gilt, ist uns derzeit nicht bekannt.

   Da die Java Runtime auf diversen Plattformen läuft, ist das Problem
   nicht auf Windows-PCs beschränkt, sondern trifft genauso auch Oracles
   Java-Browserplugins unter Apple OSX und Linux.

Abhilfe

     * Die sicherste Möglichkeit, einen PC/Mac vor dieser Serie an
       Schwachstellen in der Java Runtime zu schützen, ist eine komplette
       Deinstallation von Java.
     * Benötigt ein lokales Programm Java (etwa lokale
       Business-Applikationen, OpenOffice, diverse Fotobuch-Software,
       ...), dann kann man immer noch das Browser-Plugin nicht aktivieren.
       Detaillierte Hinweise und Anleitungen dazu findet man bei:
          [2] heise.de
          [3] Sophos
          [4] Brian Krebs
          [5] Infoworld
     * Wenn man auf das Java-Plugin wirklich angewiesen ist, so gibt es
       zwei Varianten, es trotzdem einigermaßen sicher zu verwenden:
          + Zwei-Browser Strategie: Ein Browser (etwa Chrome) wird für das
            normale Webbrowsen im Internet benutzt, in diesem wird das
            Java-Applet deaktiviert. Braucht man -- etwa für firmeninterne
            Applikationen -- das Plugin, so nimmt man dafür einen anderen
            Browser (etwa den IE), in dem das Plugin aktiv ist.
          + Manuelle Freigabe: Manche Browser lassen sich (zum Teil
            mittels Erweiterungen) so konfigurieren, dass sie Java-Applets
            erst nach einer Nachfrage beim Benutzer starten.
     * Im Kontext von Firmennetzen kann man sich auch überlegen, wie sehr
       man nicht am Proxy/ContentFilter den Download von Java-Applets
       generell unterbindet. Eine Whitelist von unbedingt nötigen externen
       Seiten, die Java brauchen, lässt sich dort auch meist einrichten.

Kontext

   In der internationalen IT Sicherheits-Community hat sich ein Konsens
   herausgebildet, dass es nicht mehr tragbar ist, dass das Java-Applet
   per Default in allen Browsern aktiv ist. Siehe dazu etwa:

   US-CERT [6]
          This and previous Java vulnerabilities have been widely targeted
          by attackers, and new Java vulnerabilities are likely to be
          discovered. To defend against this and future Java
          vulnerabilities, consider disabling Java in web browsers until
          adequate updates are available. As with any software,
          unnecessary features should be disabled or removed as
          appropriate for your environment.

   CERT-CC [7]
          Unless it is absolutely necessary to run Java in web browsers,
          disable it as described below, even after updating to 7u11. This
          will help mitigate other Java vulnerabilities that may be
          discovered in the future.

   BSI [7] (noch bzgl. des letzten Bugs)
          Das BSI steht bezüglich der aktuellen Schwachstelle in Kontakt
          mit der Firma Oracle, dem Hersteller der Java-Laufzeitumgebung.
          Ein Sicherheitsupdate des Herstellers liegt derzeit nicht vor.
          Daher rät das BSI allen Internetnutzern zu prüfen, ob Java für
          die Arbeit am Rechner tatsächlich benötigt wird. Ist dies nicht
          der Fall, sollte Java über die Systemsteuerung deinstalliert
          werden, bis ein Sicherheitsupdate vorliegt. Wird Java außerhalb
          des Browsers dringend benötigt, sollten zumindest die Java
          Browser-Plugins für das Surfen im Internet deaktiviert und nur
          zeitweise für die Durchführung einzelner Anwendungen aktiviert
          werden.

   Infoworld [9]
          Gruman suggests one step in weaning our current operating
          systems and apps off Java is for the feds to designate
          non-Java-free operating systems as noncompliant with security
          standards for gaining or renewing government contracts. "Loss of
          income is the motivation that vendors and developers need," he
          writes. Hit 'em in the bottom line. We can't afford to tolerate
          the Java problem anymore.

Hinweise

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

References

   1.
https://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/ENISA_Threat_Landscape/view
   2. http://www.heise.de/security/dienste/Java-403125.html
   3. http://nakedsecurity.sophos.com/2012/08/30/how-turn-off-java-browser/
   4. https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/
   5.
https://www.infoworld.com/t/web-browsers/how-disable-java-in-your-browsers-210882
   6. https://www.us-cert.gov/cas/techalerts/TA13-010A.html
   7. http://www.kb.cert.org/vuls/id/625617
   8.
https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2013/Krit_Schwachstelle_Java-7-10_11012013.html
   9.
https://www.infoworld.com/t/security/why-the-java-threat-rang-every-alarm-211061?source=IFWNLE_nlt_firstlook_2013-01-18
  10. http://seclists.org/fulldisclosure/2013/Jan/142

-- 
// CERT Austria - Otmar Lendl <lendl at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 711
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 196 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20130118/237d8f16/attachment.sig>


More information about the Warning mailing list