[Warning] "Zero-Day"-Sicherheitslücke in Oracle Java (aktiv ausgenützt) - Patches noch nicht verfügbar

Robert Waldner waldner at cert.at
Mon Jul 13 09:56:05 CEST 2015 

13. Juli 2015

Beschreibung

   Wie der Security-Dienstleister Trend Micro berichtet, gibt es eine
   neue Zero-Day-Schwachstelle in der aktuellen Version von Oracle Java.

   Diese Lücke wird auch bereits ausgenützt.

Auswirkungen

   Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen
   Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie
   alle durch diese erreichbaren (etwa durch Login, VPN, Fileshare etc.)
   Daten und Systeme gefährdet.

Betroffene Systeme

   Den aktuellen Meldungen nach ist Oracle Java bis inkl. 1.8.0.45
   betroffen.
   Oracle Java 1.6 und 1.7 sind nicht betroffen, wir können aber
   angesichts der in 1.8.x behobenen anderen Security-Probleme nur von
   "Downgrades" abraten.

   Da die Java Runtime auf diversen Plattformen läuft, ist das Problem
   vermutlich nicht auf Windows-PCs beschränkt, sondern trifft
   potentiell genauso auch Oracles Java-Browserplugins unter Apple OSX
   und Linux.

Abhilfe

   Momentan existieren noch keine entsprechenden Patches seitens des
   Herstellers.
   Sollten wir zu einem späteren Zeitpunkt über mehr Informationen
   verfügen, werden wir diese Warnung entsprechend aktualisieren - die
   aktuelle Version ist immer via https://cert.at/ abrufbar.

   Die sicherste Möglichkeit, einen PC/Mac vor Schwachstellen in der
   Java Runtime zu schützen ist eine komplette Deinstallation von
   Oracle Java.

   Siehe dazu auch die Links/Tipps in einer unserer früheren Warnungen
   bezüglich Oracle Java:
   https://www.cert.at/warnings/all/20130118.html

Hinweise

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
   Die "Click-to-Play"-Funktionen aktueller Internet Browser sollten
   möglichst für alle Arten von Browser-Plugins verwendet werden.
     __________________________________________________________________

   Informationsquelle(n):
   Blog-Eintrag von Trend Micro (englisch)

http://blog.trendmicro.com/trendlabs-security-intelligence/pawn-storm-update-trend-micro-discovers-new-java-zero-day-exploit/



-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150713/4c9bd763/attachment.sig>

More information about the Warning mailing list