РУС |
ENG
Уязвимости / Клиентские приложения
The FTP proxy server in Apple AirPort Express, AirPort Extreme, and Time Capsule with firmware 7.5 d ...
Buffer overflow in qoslist in bos.net.tcp.server in IBM AIX 6.1 and VIOS 2.1 allows local users to g ...
Buffer overflow in qosmod in bos.net.tcp.server in IBM AIX 6.1 and VIOS 2.1 allows local users to ga ...
Cross-site scripting (XSS) vulnerability in WebEditor/Authentication/LoginPage.aspx in IBM E ...
Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном ...
Программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимости в проду ...
Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах.
dumprep.exe – файл, являющийся частью операционной системы Microsoft Windows XP и более поздних верс ...
Программа отвечает за обработку COM+ процессов в Internet Information Services (IIS) и других програ ...
Cthelper.exe – драйвера для Creative SoundBlaster.
05 декабря, 2008
Программа:
Java Web Start 1.x
Java Web Start 5.x
Java Web Start 6.x
Sun Java JDK 1.5.x
Sun Java JDK 1.6.x
Sun Java JRE 1.3.x
Sun Java JRE 1.4.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x
Sun Java SDK 1.3.x
Sun Java SDK 1.4.x
Опасность: Высокая
Наличие эксплоита: Нет
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, получить доступ к важным данным, вызвать отказ в обслуживании и скомпрометировать целевую систему.
1. Уязвимость существует из-за того, что Java Runtime Environment (JRE) создает временные файлы с предсказуемыми именами. Злоумышленник может записать произвольные JAR файлы и произвести запрещенные действия на уязвимой системе.
2. Уязвимость существует из-за ошибки в библиотеке Java AWT при обработке моделей изображений. Удаленный пользователь может с помощью специально сформированной растровой модели изображения, используемой в операции "ConvolveOp", вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.
3. Уязвимость существует из-за ошибки при обработке заголовков GIF изображений в Java Web Start. Удаленный пользователь может с помощью специально сформированного GIF изображения вызвать повреждение памяти.
4. Целочисленное переполнение обнаружено при обработке TrueType шрифтов. Удаленный пользователь может вызвать переполнение динамической памяти и скомпрометировать целевую систему.
5. Уязвимость существует из-за ошибки в JRE, которая позволяет злоумышленнику создать сетевые соединения к произвольным хостам.
6. Уязвимость существует из-за ошибки при запуске Java Web Start приложений. Злонамеренное недоверенное приложение может получить доступ на чтение, запись и выполнение приложений с привилегиями пользователя, запустившего приложение.
7. Уязвимость существует из-за ошибки, которая позволяет недоверенному Java Web Start приложению получить имея текущего пользователя и данные о расположении Java Web Start кеша на системе.
8. Уязвимость существует из-за ошибки в Java Web Start, которая позволяет злоумышленнику с помощью специально сформированного JNLP файла изменить системные настройки (например, java.home, java.ext.dirs и user.home).
9. Уязвимость существует из-за ошибки в Java Web Start и Java плагине, которая позволяет злоумышленнику внедриться в HTTP сессию пользователя.
10. Уязвимость существует из-за ошибки в функционале загрузки классов JRE апплетов. Удаленный пользователь может просмотреть содержимое произвольных файлов на системе и создать сетевые подключения к произвольным хостам.
11. Уязвимость существует из-за ошибки в Java Web Start BasicService, которая позволяет открыть произвольные локальные файлы в браузере пользователя.
12. Уязвимость существует из-за того, что механизм "Java Update" не проверяет цифровые подписи загруженных обновлений. Удаленный пользователь может с помощью атаки «человек посредине» или DNS спуфинг атаки скомпрометировать целевую систему.
13. Уязвимость существует из-за ошибки проверки границ данных при обработке "Main-Class" строк в JAR файле. Удаленный пользователь может с помощью специально сформированного JAR файла вызвать переполнение стека и выполнить произвольный код на целевой системе.
14. Уязвимость существует из-за ошибки при десериализации объектов календаря. Недоверенный Java апплет может прочитать, записать и выполнить произвольные файлы на системе.
15. Целочисленное переполнение обнаружено в JRE. Удаленный пользователь может с помощью специально сформированного Pack200-сжатого JAR файла вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.
16. Уязвимость существует из-за того, что UTF-8 декодер принимает кодировки длиной более чем форма "shortest". Злоумышленник может с помощью специально сформированного URI заставить приложение принять некорректные последовательности получить доступ к важным данным.
17. Уязвимость существует из-за ошибки в JRE, которая позволяет злоумышленнику просмотреть содержимое домашней директории пользователя.
18. Уязвимость существует из-за ошибки при обработке публичных RSA ключей. Удаленный пользователь может с помощью специально сформированного RSA ключа потребить большое количество системных ресурсов.
19. Уязвимость существует из-за ошибки в механизме аутентификации JRE Kerberos. Удаленный пользователь может потребить большое количество системных ресурсов.
20. Уязвимость существует из-за различных ошибок в JAX-WS и JAXB JRE пакетах. Недоверенный Java апплет может прочитать, записать и выполнить произвольные файлы на системе.
21. Уязвимость существует из-за ошибки при обработке ZIP файлов. злоумышленник может с помощью специально сформированного ZIP архива получить доступ к произвольным участкам памяти на системе.
22. Уязвимость существует из-за ошибки, которая позволяет злонамеренному коду, загруженному из локальной файловой системы, получит сетевой доступ к локальному хосту.
23. Уязвимость существует из-за ошибки проверки границ данных при обработке TrueType шрифтов. Удаленный пользователь может с помощью специально сформированного TrueType шрифта вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.
URL производителя: java.sun.com
Решение: Установите исправление с сайта производителя.
JDK and JRE 6 Update 11:
http://java.sun.com/javase/downloads/index.jsp
JDK and JRE 5.0 Update 17:
http://java.sun.com/javase/downloads/index_jdk5.jsp
SDK and JRE 1.4.2_19:
http://java.sun.com/j2se/1.4.2/download.html
SDK and JRE 1.3.1_24:
http://java.sun.com/j2se/1.3/download.html
Источники:
Ссылки:
CVE:
Из-за плохой реализации работы протокола нагрузка на сетевое оборудование не уменьшилась, а увеличил ...
Межведомственный совет, состоящий из представителей Минкультуры, Минкомсвязи, МВД и Минэкономразвити ...
В браузере Opera последней версии обнаружена уязвимость, которая может позволить злоумышленнику полу ...
В конце января – феврале текущего года в Москве приговоры получили как минимум семь установщиков нел ...
Один из самых популярных новостных IT-сайтов в интернете Ars Technica провел 12-часовой эксперимент, ...
"Хочется верить, что закрытие torrents.ru - это лишь первый шаг грядущей масштабной кампании по ...
Об этом сообщает компания Internet Copyright Management (ICM), которая специализируется на з ...
Согласившись с критикой статистической ущербности процесса случайного перемешивания в окне выбора Wi ...
Журналисты The Smoking Gun связалась с компанией Kingston и спросили, оказывает ли желудочный сок в ...
Устройство Cisco Carrier Routing System (CRS) 3 сможет обрабатывать в 12 раз больше данных п ...
Вредоносный код, присутствующий в устройстве, предназначен для операционной системы Windows и переда ...
Когда в страну ввозится некоторое бытовое оборудование, позволяющее записывать музыку или кино, а т ...