Множественные уязвимости в Sun Java JDK / JRE
| Дата публикации: | 05.03.2008 |
| Дата изменения: | 26.03.2009 |
| Всего просмотров: | 6639 |
| Опасность: | Высокая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2008-1185 CVE-2008-1186 CVE-2008-1187 CVE-2008-1188 CVE-2008-1189 CVE-2008-1190 CVE-2008-1191 CVE-2008-1192 CVE-2008-1193 CVE-2008-1194 CVE-2008-1195 CVE-2008-1196 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Отказ в обслуживании Раскрытие важных данных Раскрытие системных данных Неавторизованное изменение данных Обход ограничений безопасности Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Sun Java SDK 1.4.x
Sun Java JRE 1.6.x / 6.x Sun Java JRE 1.5.x / 5.x Sun Java JRE 1.4.x Sun Java JDK 1.6.x Sun Java JDK 1.5.x Java Web Start 1.x Java Web Start 6.x |
| Уязвимые версии: Sun Java JDK 1.5.x Sun Java JDK 1.6.x Sun Java JRE 1.4.x Sun Java JRE 1.5.x / 5.x Sun Java JRE 1.6.x / 6.x Sun Java SDK 1.4.x Java Web Start 1.x Java Web Start 6.x Описание: 1. Две уязвимости обнаружены в Java Runtime Environment Virtual Machine. Удаленный пользователь может с помощью недоверенного апплета просмотреть содержимое произвольных файлов, записать файлы на систему и выполнить локальные приложения. 2. Уязвимость существует из-за неизвестной ошибки в Java Runtime Environment (JRE) при обработке XSLT трансформаций. Удаленный пользователь может с помощью специально сформированного недоверенного апплета или приложения просмотреть произвольные URL ресурсы или выполнить произвольный код на целевой системе. 3. Обнаружено три ошибки проверки границ данных в Java Web Start. Злоумышленник может с помощью недовереного Java Web Start приложения прочитать и записать локальные файлы и выполнить локальные приложения. 4. Уязвимость существует из-за неизвестной ошибки в Java Web Start. Удаленный пользователь может с помощью специально сформированного недоверенного апплета прочитать и записать локальные файлы и выполнить локальные приложения на системе. 5. Уязвимость существует из-за неизвестной ошибки в Java Web Start. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения создать произвольные файлы на системе и выполнить локальные приложения с привилегиями пользователя, запустившего недовереное Java Web Start приложение. 6. Уязвимость существует из-за неизвестной ошибки в Java плагине. Удаленный пользователь может с помощью специально сформированного недоверенного апплета обойти ограничения политики «same origin» и выполнить локальные приложения на системе. 7. Уязвимость существует из-за ошибки в библиотеке обработки графических изображений в Java Runtime Environment при обработке ICC профилей. Удаленный пользователь может аварийно завершить работу JVM, записать произвольные данные в файлы или выполнить локальные приложения. 8. Уязвимость существует из-за ошибки в Java Runtime Environment, которая позволяет Javascript коду в браузере создать подключения Java API к сетевым службам на локальной системе. 9. Уязвимость существует из-за ошибки проверки границ данных в Java Web Start при обработке JNLP файлов. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать переполнение стека и выполнить произвольный код на целевой системе. URL производителя: www.sun.com Решение: Установите исправление с сайта производителя.
JDK and JRE 6 Update 5: Журнал изменений:
06.03.2008 |
|
| Ссылки: |
CESA-2007-005 - rev 2 Two Security Vulnerabilities in the Java Runtime Environment Virtual Machine Security Vulnerability in the Java Runtime Environment With the Processing of XSLT Transformations Multiple Security Vulnerabilities in Java Web Start May Allow an Untrusted Application to Elevate Privileges A Security Vulnerability in the Java Plug-in May Allow an Untrusted Applet to Elevate Privileges Vulnerabilties in the Java Runtime Environment image Parsing Library Security Vulnerability in the Java Runtime Environment May Allow Untrusted JavaScript Code to Elevate Privileges Through Java APIs Buffer Overflow Vulnerability in Java Web Start May Allow an Untrusted Application to Elevate its Privileges ZDI-08-009: Java Web Start tempbuff Stack Buffer Overflow ZDI-08-010: Java Web Start encoding Stack Buffer Overflow |
|
|
http://java.sun.com/javase/6/webnotes/ReleaseNotes.html |