[Warning] Kritische Sicherheitslücke in Oracle Java - Patches verfügbar

Robert Waldner waldner at cert.at
Thu Mar 24 11:46:44 CET 2016 

24. März 2016

Beschreibung

   Wie Oracle in einem aktuellen Security Alert berichtet, gibt es eine
   neue kritische Schwachstelle in aktuellen Versionen von Oracle Java
   SE.

   CVSS2 Base Score (laut Oracle): 9.3
   CVE-Nummer: CVE-2016-0636

Auswirkungen

   Zum Ausnützen dieser Lücke reicht es, einen Benutzer der Java im
   Web-Browser aktiv hat, auf eine entsprechend präparierte Webseite zu
   locken. Es ist zu erwarten, dass entsprechende Links bald (etwa per
   Spam-Mail) verteilt werden.

   Da der Angreifer dann potentiell beliebigen Code auf betroffenen
   Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie
   alle durch diese erreichbaren (etwa durch Login, VPN, Fileshare etc.)
   Daten und Systeme gefährdet.

Betroffene Systeme

     * Oracle Java SE 7 Update 97
     * Oracle Java SE 8 Update 73 und 74

   Jeweils für Windows, Solaris, Linux, und Mac OS X.

Abhilfe

   Benutzern, die auf Oracle Java nicht verzichten können, empfehlen wir
   dringend, das von Oracle zur Verfügung gestellte Update zeitnah
   einzuspielen - entweder mit der eingebauten Update-Funktion oder per
   Download via https://java.com/en/download/manual.jsp

   Die sicherste Möglichkeit, einen PC/Mac vor Schwachstellen in der
   Java Runtime zu schützen ist jedoch eine komplette Deinstallation
   von Oracle Java.

   Siehe dazu auch die Links/Tipps in einer unserer früheren Warnungen
   bezüglich Oracle Java:
   https://www.cert.at/warnings/all/20130118.html

Hinweise

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
   Die "Click-to-Play"-Funktionen aktueller Internet Browser sollten
   möglichst für alle Arten von Browser-Plugins verwendet werden.
     __________________________________________________________________

   Informationsquelle(n):
   Oracle Security Alert for CVE-2016-0636 (englisch)

http://www.oracle.com/technetwork/topics/security/alert-cve-2016-0636-2949497.html
   Meldung bei Heise Security

http://www.heise.de/security/meldung/Jetzt-patchen-Kritische-Luecke-in-Java-SE-3150523.html


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20160324/55fd1a15/attachment.sig>

More information about the Warning mailing list