Client-Installationen von Oracle Java SE können schon durch den Besuch einer präparierten Webseite kompromittiert werden. [...]
Sowohl das Computer Emergency Response Team Austria (CERT.at) als auch das deutsche CERT des Bundesamt für Sicherheit in der Informationstechnik warnen aktuell vor einer kritischen Schwachstelle in aktuellen Versionen von Oracle Java SE, deren Risiko als hoch eingestuft wird.
Die Kriminellen müssen nur einen User mit aktiviertem Java auf eine präparierte Webseite locken, um dann potenziell beliebigen Code auf betroffenen Systemen auszuführen. Schuld ist eine Schwachstelle in der Subkomponente „Hotspot“. Dadurch sind alles Datzen auf diesen Systemen, sowie durch diese erreichbare (etwa durch Login, VPN, Fileshare etc.) Daten, gefährdet. Das Risiko wird als hoch eingeschätzt, CERT.at erwartet, dass entsprechende Links bald (etwa per Spam-Mail) verteilt werden.
Betroffen sind Oracle Java SE 7 Update 97 sowie Oracle Java SE 8 Update 73 und 74, jeweils für Windows, Solaris, Linux, und Mac OS X. Die Schwachstelle betrifft ausschließlich Client-Installationen von Oracle Java SE, die im Webbrowser laufen, während Stand-Alone Versionen und Server-Installationen nicht betroffen sind.
Benutzern, die auf Oracle Java nicht verzichten können, empfiehlt das Tea, von CERT.at dringend, das von Oracle zur Verfügung gestellte Update so bald wie möglich einzuspielen – entweder mit der eingebauten Update-Funktion oder per Download via https://java.com/en/download/manual.jsp. Die sicherste Möglichkeit, einen Computer vor Schwachstellen in der Java Runtime zu schützen sei jedoch eine komplette Deinstallation von Oracle Java.
Weitere Details finden sich auch in dem „Oracle Security Alert for CVE-2016-0636“. (rnf)
Be the first to comment