Deutsch | English

Kritische Sicherheitslücke in Oracle Java - Patches verfügbar

24. März 2016

Beschreibung

Wie Oracle in einem aktuellen Security Alert berichtet, gibt es eine neue kritische Schwachstelle in aktuellen Versionen von Oracle Java SE.

CVSS2 Base Score (laut Oracle): 9.3
CVE-Nummer: CVE-2016-0636

Auswirkungen

Zum Ausnützen dieser Lücke reicht es, einen Benutzer der Java im Web-Browser aktiv hat, auf eine entsprechend präparierte Webseite zu locken. Es ist zu erwarten, dass entsprechende Links bald (etwa per Spam-Mail) verteilt werden.

Da der Angreifer dann potentiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN, Fileshare etc.) Daten und Systeme gefährdet.

Betroffene Systeme

  • Oracle Java SE 7 Update 97
  • Oracle Java SE 8 Update 73 und 74
Jeweils für Windows, Solaris, Linux, und Mac OS X.

Abhilfe

Benutzern, die auf Oracle Java nicht verzichten können, empfehlen wir dringend, das von Oracle zur Verfügung gestellte Update zeitnah einzuspielen - entweder mit der eingebauten Update-Funktion oder per Download via https://java.com/en/download/manual.jsp.

Die sicherste Möglichkeit, einen PC/Mac vor Schwachstellen in der Java Runtime zu schützen ist jedoch eine komplette Deinstallation von Oracle Java.

Siehe dazu auch die Links/Tipps in einer unserer früheren Warnungen bezüglich Oracle Java: https://www.cert.at/warnings/all/20130118.html.

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Internet Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.
Informationsquelle(n):

Oracle Security Alert for CVE-2016-0636 (englisch)
http://www.oracle.com/technetwork/topics/security/alert-cve-2016-0636-2949497.html
Meldung bei Heise Security
http://www.heise.de/security/meldung/Jetzt-patchen-Kritische-Luecke-in-Java-SE-3150523.html
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Update: Kritische Sicherheitslücke in Mozilla Firefox - aktiv ausgenützt - Patch jetzt verfügbar
30. November 2016 | ...
Kritische Sicherheitslücke in Adobe Flash Player - aktiv ausgenützt - Patches verfügbar
27. Oktober 2016 | Beschreibung Adobe ...
mehr ...
Avalanche Takedown
1. Dezember 2016 | Am ...
Port 7547 in Österreich
30. November 2016 | ...
mehr ...
Jahresbericht 2015
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2016/3/24 - 11:38:52
Haftungsausschluss