Technische Warnung des Bürger-CERT
Ausgabe vom 14.01.2013
Nummer: TW-T13/0007 Update 1


BETROFFENE SYSTEME
- Oracle Java Development Kit (JDK) <= 7 update 10
- Oracle Java Runtime Environment (JRE) <= 7 update 10

EMPFEHLUNG
Das Bürger-CERT empfiehlt die von Oracle bereitgestellten
Java-Sicherheitsupdates umgehend zu installieren.

Je nach Konfiguration der automatischen Update-Funktion [2] auf
Windows-Systemen kann ein Zeitverzug bis zur Installation des
Sicherheitsupdates auftreten, daher ist eine manuelle Installation zu
empfehlen.

Die Java-Laufzeitumgebung (JRE) kann über folgende Webseite bezogen
werden:

[3] http://www.java.com/de/

Es ist zu beachten, dass bei 64-Bit Betriebssystem ggf. auch eine
separate Java 64-Bit Installation aktualisiert werden muss [4].

Die aktuelle Java-Entwicklungsumgebung (JDK) für Programmierer ist über
die folgende Webseite verfügbar:

[5] http://www.oracle.com/technetwork/java/javase/downloads/index.html

BESCHREIBUNG
Es existiert eine Schwachstelle in Oracle Java SE über die ein
entfernter, anonymer Angreifer beliebigen Code im Kontext des Benutzers
zur Ausführung bringen kann. Zur erfolgreichen Ausnutzung dieser
Schwachstelle muss der Angreifer den Benutzer dazu bringen, eine
modifizierte URL oder Webseite in seinem Web-Browser öffnen.

Exploit-Code, der diese Schwachstelle ausnutzt, ist bereits im
Internet verfügbar. Weitere Information finden Sie unter [1].

Mit dem Sicherheitsupdate wird in Java die Standardeinstellung für die
"Java Security Settings" auf "High" geändert [6]. Mit dieser Einstellung
müssen Benutzer die Ausführung von unsignierten oder selbst-signierten
Java Applets im Browser explizit vor der Ausführung erlauben.

QUELLEN
- [1] Oracle Security Alert for CVE-2013-0422
http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html#PatchTable
- [2] Was ist Java-Autoupdate?
http://www.java.com/de/download/help/java_update.xml
- [3] Download Oracle Java Laufzeitumgebung (JRE) 32-Bit Version 7
http://www.java.com/de/download/manual.jsp
- [4] Download Oracle Java Laufzeitumgebung (JRE) 64-Bit Version 7
http://www.java.com/de/download/faq/java_win64bit.xml
- [5] Download Oracle Java Entwicklungsumgebung (JDK) Version 7
http://www.oracle.com/technetwork/java/javase/downloads/index.html
- [6] Oracle Blog-Beitrag für CVE-2013-0422
https://blogs.oracle.com/security/entry/security_alert_for_cve_2013




-----------------------------------------------------------------------
Diese Technische Warnung ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de

Technische Warnung des Bürger-CERT
Ausgabe vom 14.01.2013
Nummer: TW-T13/0007 Update 2


BETROFFENE SYSTEME
- Oracle Java Development Kit (JDK) <= 7 update 10
- Oracle Java Runtime Environment (JRE) <= 7 update 10

EMPFEHLUNG
Das Bürger-CERT empfiehlt die von Oracle bereitgestellten
Java-Sicherheitsupdates umgehend zu installieren.

Je nach Konfiguration der automatischen Update-Funktion [2] auf
Windows-Systemen kann ein Zeitverzug bis zur Installation des
Sicherheitsupdates auftreten, daher ist eine manuelle Installation zu
empfehlen.

Die Java-Laufzeitumgebung (JRE) kann über folgende Webseite bezogen
werden:

[3] http://www.java.com/de/

Es ist zu beachten, dass bei 64-Bit Betriebssystem ggf. auch eine
separate Java 64-Bit Installation aktualisiert werden muss [4].

Die aktuelle Java-Entwicklungsumgebung (JDK) für Programmierer ist über
die folgende Webseite verfügbar:

[5] http://www.oracle.com/technetwork/java/javase/downloads/index.html

BESCHREIBUNG
Es existiert eine Schwachstelle in Oracle Java SE über die ein
entfernter, anonymer Angreifer beliebigen Code im Kontext des Benutzers
zur Ausführung bringen kann. Zur erfolgreichen Ausnutzung dieser
Schwachstelle muss der Angreifer den Benutzer dazu bringen, eine
modifizierte URL oder Webseite in seinem Web-Browser öffnen.

Exploit-Code, der diese Schwachstelle ausnutzt, ist bereits im
Internet verfügbar. Weitere Information finden Sie unter [1].

Mit dem Sicherheitsupdate wird in Java die Standardeinstellung für die
"Java Security Settings" auf "High" geändert [6]. Mit dieser Einstellung
müssen Benutzer die Ausführung von unsignierten oder selbst-signierten
Java Applets im Browser explizit vor der Ausführung erlauben.

QUELLEN
- [1] Oracle Security Alert for CVE-2013-0422
http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html#PatchTable
- [2] Was ist Java-Autoupdate?
http://www.java.com/de/download/help/java_update.xml
- [3] Download Oracle Java Laufzeitumgebung (JRE) 32-Bit Version 7
http://www.java.com/de/download/manual.jsp
- [4] Download Oracle Java Laufzeitumgebung (JRE) 64-Bit Version 7
http://www.java.com/de/download/faq/java_win64bit.xml
- [5] Download Oracle Java Entwicklungsumgebung (JDK) Version 7
http://www.oracle.com/technetwork/java/javase/downloads/index.html
- [6] Oracle Blog-Beitrag für CVE-2013-0422
https://blogs.oracle.com/security/entry/security_alert_for_cve_2013




-----------------------------------------------------------------------
Diese Technische Warnung ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de