Update: "Zero-Day"-Sicherheitslücke in Oracle Java (aktiv ausgenützt) - Patches jetzt verfügbar

13. Juli 2015

Update 15. Juli 2015

Beschreibung

Wie der Security-Dienstleister Trend Micro berichtet, gibt es eine neue Zero-Day-Schwachstelle in der aktuellen Version von Oracle Java.

Diese Lücke wird auch bereits ausgenützt.

Auswirkungen

Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN, Fileshare etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Den aktuellen Meldungen nach ist Oracle Java bis inkl. 1.8.0.45 betroffen.
Oracle Java 1.6 und 1.7 sind nicht betroffen, wir können aber angesichts der in 1.8.x behobenen anderen Security-Probleme nur von "Downgrades" abraten.

Da die Java Runtime auf diversen Plattformen läuft, ist das Problem vermutlich nicht auf Windows-PCs beschränkt, sondern trifft potentiell genauso auch Oracles Java-Browserplugins unter Apple OSX und Linux.

Abhilfe

Momentan existieren noch keine entsprechenden Patches seitens des Herstellers.
Sollten wir zu einem späteren Zeitpunkt über mehr Informationen verfügen, werden wir diese Warnung entsprechend aktualisieren - die aktuelle Version ist immer via https://cert.at/ abrufbar.

Die sicherste Möglichkeit, einen PC/Mac vor Schwachstellen in der Java Runtime zu schützen ist eine komplette Deinstallation von Oracle Java.

Siehe dazu auch die Links/Tipps in einer unserer früheren Warnungen bezüglich Oracle Java: https://www.cert.at/warnings/all/20130118.html.

Update 15. Juli 2015

Wie Oracle in einem Blog-Eintrag berichtet, gibt es nun eine entsprechend angepasste Version von Oracle Java SE (auf Version 8 Update 51).
In diesem Blog-Eintrag ist auch eine CVE-Nummer (CVE-2015-2590) zu diesem Problem angeführt, sowie eine Bewertung dazu mit einem CVSS2 Base Score von 10.0.

Weitere behobene Probleme mit einem CVSS2 Base Score von 9.0 oder höher:

  • CVE-2015-4760
  • CVE-2015-2628
  • CVE-2015-4731
  • CVE-2015-4732
  • CVE-2015-4733
  • CVE-2015-2638
  • CVE-2015-4736
Mehr Informationen dazu finden sich in der Übersicht zum Critial Patch Update July 2015 unter dem Punkt "Oracle Java SE Executive Summary".

Benutzern, die auf Oracle Java nicht verzichten können, empfehlen wir dringend, dieses Update zeitnah einzuspielen - entweder mit der eingebauten Update-Funktion oder per Download via https://java.com/en/download/manual.jsp.

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Internet Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.
Informationsquelle(n):

Blog-Eintrag von Trend Micro (englisch)
http://blog.trendmicro.com/trendlabs-security-intelligence/pawn-storm-update-trend-micro-discovers-new-java-zero-day-exploit/
Oracle Security Blog zum Critical Patch Update July 2015 (englisch)
https://blogs.oracle.com/security/entry/july_2015_critical_patch_update
Übersicht zum "Critial Patch Update July 2015" (englisch)
http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html