Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1695

[Generic/Java] Schwachstelle in Java 7 Update 10
(2012-06-13 07:47:21.225757+00) Druckversion

Quelle: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3174

Eine Schwachstelle in Oracle Java 7 bis einschließlich Update 10, ermöglicht einem Angreifer durch manipulierten Java-Code beliebigen Programmcode auf das beherbergende System zu schleusen und auszuführen. Ein entsprechendes Applet kann dabei z.B. über eine entsprechend hergerichtete Webseite oder eine E-Mail-Nachricht auf das Opfersystem transportiert werden. Derzeit sind noch keine Patches zur Behebung der Schwachstelle verfügbar. Die Schwachstelle betrifft nur Java-Installationen, die als Plug-in in Webbrowsern verwendet werden. Stand-Alone-Installationen sind laut Oracle nicht betroffen.

Inhalt

Zusammenfassung

  • CVE-2012-3174:
    (Webanwendung, Applet oder App)
    Betroffen: Oracle Java 7 bis inklusive Update 10
    Plattform: alle (generic)
    Einfallstor: Java Anwendung
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Implementierungs- oder Entwurfsfehler (Details derzeit nicht verfügabar)
    Gefahrenpotential: hoch
    Workaround: ja: Deaktivierung von Java im Browser
    Gegenmaßnahmen: Neue Version, sobald verfügbar
    Vulnerability ID: CVE-2012-3174

Workaround

Abschaltung von Java im Browser: Ob Java erfolgreich abgeschaltet wurde, kann auf der Java-Testseite des Heise-Verlages geprüft werden.

Vulnerability ID

(og)

Weitere Artikel zu diesem Thema:

  • [Generic/Java] Schwachstelle in Java 7 Update 10 [UPDATE] (2013-01-11)
    Eine Schwachstelle in Oracle Java 7 bis einschließlich Update 10, ermöglicht einem Angreifer durch manipulierten Java-Code beliebigen Programmcode auf das beherbergende System zu schleusen und auszuführen. Ein entsprechendes Applet kann dabei z.B. über eine entsprechend hergerichtete Webseite oder eine E-Mail-Nachricht auf das Opfersystem transportiert werden. Derzeit sind noch keine Patches zur Behebung der Schwachstelle verfügbar. Es ist bereits entsprechender Exploitcode in Umlauf und es ist damit zu rechnen, dass Angriffe auf der Basis dieser Schwachstelle in kurzer Zeit massiv ansteigen werden. Da praktisch alle aktuellen Browser bei aktiviertem Java verwundbar sind, wird die Deaktivierung entsprechender Java-Plug-Ins bis zum Erscheinen entsprechender Patches dringend empfohlen. Man beachte, dass diese Schwachstelle nicht auf ein bestimmtes Wirtsbetriebssystem beschränkt ist. Sie kann z.B. als "Türöffner" genutzt werden und Code einschleusen, der betriebssystemspezifische Malware nachlädt.
    UPDATE: Oracle hat Patches zur Behebung dieser Schwachstelle veröffentlicht. Dieses Update scheint jedoch eine ältere Schwachstelle nicht zu beheben, weshalb zunächst die empfohlenen Maßnahmen aufrecht erhalten werden sollten.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.