|
| Autor | Mitteilung |
Nubira Moderator  Beiträge: 15134 | Gesendet: 17:34 - 21.02.2013 Technische Warnung des Bürger-CERT Ausgabe vom 21.02.2013 Nummer: TW-T13/0018 Update 1 BETROFFENE SYSTEME - Oracle Java Runtime Environment (JRE) und Oracle Java Development Kit (JDK) <= Version 7 Update 13 jeweils für Windows, Linux und Mac OS X - Oracle Java Runtime Environment (JRE) und Oracle Java Development Kit (JDK) <= Version 6 Update 39 jeweils für Windows, Linux und Mac OS X EMPFEHLUNG Das Bürger-CERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen [1]. Je nach Konfiguration der automatischen Update-Funktion [2] auf Windows-Systemen kann bis zur Installation des Sicherheitsupdates für die Java Runtime Environment (JRE) eine Verzögerung auftreten. Daher empfiehlt das Bürger-CERT in diesem Fall die manuelle Installation von Java 7 Update 15. Da mit dem Sicherheitsupdate Java 6 Update 41 dieser Versionszweig nicht mehr weiter aktualisiert wird, sollten alle Installationen von Java 6 anschließend deinstalliert werden [3]. Mac OS X Anwendern stellt Apple für Java Version 6 über die Softwareaktualisierung eigene Sicherheitsupdates bereit [4]. Dieses Update konfiguriert Webbrowser so, dass Java-Applets nicht automatisch sondern nach manueller Bestätigung ausgeführt werden. Java Version 7 müssen Mac OS X Anwender direkt von Oracle beziehen [5]. Generell hilft die Deaktivierung der Browser-Plugins, das Risiko möglicher Infektionen drastisch zu reduzieren [6]. BESCHREIBUNG Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Oracle Java Development Kit (JDK) und Oracle Java Runtime Environment (JRE) ausnutzen, um dadurch die Integrität, Vertraulichkeit und Verfügbarkeit zu gefährden. Zur erfolgreichen Ausnutzung dieser Schwachstellen muss der Angreifer den Anwender dazu bringen, präparierten Java-Code auszuführen. Dies kann beispielsweise über ein präpariertes Java-Applet auf einer Webseite geschehen. QUELLEN - [1] Updated Release of the February 2013 Oracle Java SE Critical Patch Update http://www.oracle.com/technetwork/topics/security/javacpufeb2013update-1905892.html - [2] Was ist Java-Autoupdate? http://www.java.com/de/download/help/java_update.xml - [3] Warum sollte ich ältere Java-Versionen aus dem System entfernen? http://www.java.com/de/download/faq/remove_olderversions.xml - [4] About the security content of Java for OS X 2013-001 and Mac OS X v10.6 Update 13 http://support.apple.com/kb/HT5666 - [5] Java-Downloads für alle Betriebssysteme http://www.java.com/de/download/manual.jsp - [6] Wie deaktiviere ich Java in meinem Webbrowser? http://www.java.com/de/download/help/disable_browser.xml UPDATE INFORMATIONEN Ergänzender Hinweis zum automatischen Update Wird eine Installation von Java 6 automatisch aktualisiert, wird über einen Benutzerdialog abgefragt, ob ein Wechsel auf Java 7 erfolgen soll. Das Bürger-CERT rät dazu, auch diesen Dialog zu bestätigen. Im Anschluss wird Java 7 Update 15 installiert und die aktuellste Version von Java 6 deinstalliert. Befinden sich noch ältere Java 6 Versionen auf dem Rechner, sollten diese erneut manuell deinstalliert werden [3]. ----------------------------------------------------------------------- Diese Technische Warnung ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - Oracle hat mehrere Schwachstellen in Java geschlossen - | zum Seitenanfang |
|
|
Version 3.1 | Load: 0.002659 | S: 1_2 |