Множественные уязвимости в Sun Java JDK / JRE

Дата публикации:
05.03.2008
Дата изменения:
26.03.2009
Всего просмотров:
5892
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2008-1185
CVE-2008-1186
CVE-2008-1187
CVE-2008-1188
CVE-2008-1189
CVE-2008-1190
CVE-2008-1191
CVE-2008-1192
CVE-2008-1193
CVE-2008-1194
CVE-2008-1195
CVE-2008-1196
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Раскрытие важных данных
Раскрытие системных данных
Неавторизованное изменение данных
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Sun Java SDK 1.4.x
Sun Java JRE 1.6.x / 6.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.4.x
Sun Java JDK 1.6.x
Sun Java JDK 1.5.x
Java Web Start 1.x
Java Web Start 6.x
Уязвимые версии:
Sun Java JDK 1.5.x
Sun Java JDK 1.6.x
Sun Java JRE 1.4.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x
Sun Java SDK 1.4.x
Java Web Start 1.x
Java Web Start 6.x

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Две уязвимости обнаружены в Java Runtime Environment Virtual Machine. Удаленный пользователь может с помощью недоверенного апплета просмотреть содержимое произвольных файлов, записать файлы на систему и выполнить локальные приложения.

2. Уязвимость существует из-за неизвестной ошибки в Java Runtime Environment (JRE) при обработке XSLT трансформаций. Удаленный пользователь может с помощью специально сформированного недоверенного апплета или приложения просмотреть произвольные URL ресурсы или выполнить произвольный код на целевой системе.

3. Обнаружено три ошибки проверки границ данных в Java Web Start. Злоумышленник может с помощью недовереного Java Web Start приложения прочитать и записать локальные файлы и выполнить локальные приложения.

4. Уязвимость существует из-за неизвестной ошибки в Java Web Start. Удаленный пользователь может с помощью специально сформированного недоверенного апплета прочитать и записать локальные файлы и выполнить локальные приложения на системе.

5. Уязвимость существует из-за неизвестной ошибки в Java Web Start. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения создать произвольные файлы на системе и выполнить локальные приложения с привилегиями пользователя, запустившего недовереное Java Web Start приложение.

6. Уязвимость существует из-за неизвестной ошибки в Java плагине. Удаленный пользователь может с помощью специально сформированного недоверенного апплета обойти ограничения политики «same origin» и выполнить локальные приложения на системе.

7. Уязвимость существует из-за ошибки в библиотеке обработки графических изображений в Java Runtime Environment при обработке ICC профилей. Удаленный пользователь может аварийно завершить работу JVM, записать произвольные данные в файлы или выполнить локальные приложения.

8. Уязвимость существует из-за ошибки в Java Runtime Environment, которая позволяет Javascript коду в браузере создать подключения Java API к сетевым службам на локальной системе.

9. Уязвимость существует из-за ошибки проверки границ данных в Java Web Start при обработке JNLP файлов. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать переполнение стека и выполнить произвольный код на целевой системе.

URL производителя: www.sun.com

Решение: Установите исправление с сайта производителя.

JDK and JRE 6 Update 5:
http://java.sun.com/javase/downloads/index.jsp

JDK and JRE 5.0 Update 15:
http://java.sun.com/javase/downloads/index_jdk5.jsp

SDK and JRE 1.4.2_17:
http://java.sun.com/j2se/1.4.2/download.html

Журнал изменений:

06.03.2008
Обновлено описание уязвимости, повышен рейтинг опасности.
28.03.2008
Обновлено описание уязвимости.

Ссылки: CESA-2007-005 - rev 2
Two Security Vulnerabilities in the Java Runtime Environment Virtual Machine
Security Vulnerability in the Java Runtime Environment With the Processing of XSLT Transformations
Multiple Security Vulnerabilities in Java Web Start May Allow an Untrusted Application to Elevate Privileges
A Security Vulnerability in the Java Plug-in May Allow an Untrusted Applet to Elevate Privileges
Vulnerabilties in the Java Runtime Environment image Parsing Library
Security Vulnerability in the Java Runtime Environment May Allow Untrusted JavaScript Code to Elevate Privileges Through Java APIs
Buffer Overflow Vulnerability in Java Web Start May Allow an Untrusted Application to Elevate its Privileges
ZDI-08-009: Java Web Start tempbuff Stack Buffer Overflow
ZDI-08-010: Java Web Start encoding Stack Buffer Overflow
http://java.sun.com/javase/6/webnotes/ReleaseNotes.html

или введите имя

CAPTCHA