РУС |
ENG
Уязвимости / Клиентские приложения
IBM DB2 9.7 before FP2 does not perform the expected access control on the monitor administrative vi ...
IBM DB2 9.7 before FP2, when AUTO_REVAL is IMMEDIATE, allows remote authenticated users to cause a d ...
Unspecified vulnerability in IBM DB2 9.1 before FP9, 9.5 before FP6, and 9.7 before FP2 on Windows S ...
The DB2DART program in IBM DB2 9.1 before FP9, 9.5 before FP6, and 9.7 before FP2 allows attackers t ...
Вредоносная программа, перехватывающая обращения пользователя к различным сайтам, перенаправляя их н ...
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и запуска на к ...
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа являет ...
dumprep.exe – файл, являющийся частью операционной системы Microsoft Windows XP и более поздних верс ...
Программа отвечает за обработку COM+ процессов в Internet Information Services (IIS) и других програ ...
Cthelper.exe – драйвера для Creative SoundBlaster.
05 декабря, 2008
Программа:
Java Web Start 1.x
Java Web Start 5.x
Java Web Start 6.x
Sun Java JDK 1.5.x
Sun Java JDK 1.6.x
Sun Java JRE 1.3.x
Sun Java JRE 1.4.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x
Sun Java SDK 1.3.x
Sun Java SDK 1.4.x
Опасность: Высокая
Наличие эксплоита: Нет
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, получить доступ к важным данным, вызвать отказ в обслуживании и скомпрометировать целевую систему.
1. Уязвимость существует из-за того, что Java Runtime Environment (JRE) создает временные файлы с предсказуемыми именами. Злоумышленник может записать произвольные JAR файлы и произвести запрещенные действия на уязвимой системе.
2. Уязвимость существует из-за ошибки в библиотеке Java AWT при обработке моделей изображений. Удаленный пользователь может с помощью специально сформированной растровой модели изображения, используемой в операции "ConvolveOp", вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.
3. Уязвимость существует из-за ошибки при обработке заголовков GIF изображений в Java Web Start. Удаленный пользователь может с помощью специально сформированного GIF изображения вызвать повреждение памяти.
4. Целочисленное переполнение обнаружено при обработке TrueType шрифтов. Удаленный пользователь может вызвать переполнение динамической памяти и скомпрометировать целевую систему.
5. Уязвимость существует из-за ошибки в JRE, которая позволяет злоумышленнику создать сетевые соединения к произвольным хостам.
6. Уязвимость существует из-за ошибки при запуске Java Web Start приложений. Злонамеренное недоверенное приложение может получить доступ на чтение, запись и выполнение приложений с привилегиями пользователя, запустившего приложение.
7. Уязвимость существует из-за ошибки, которая позволяет недоверенному Java Web Start приложению получить имея текущего пользователя и данные о расположении Java Web Start кеша на системе.
8. Уязвимость существует из-за ошибки в Java Web Start, которая позволяет злоумышленнику с помощью специально сформированного JNLP файла изменить системные настройки (например, java.home, java.ext.dirs и user.home).
9. Уязвимость существует из-за ошибки в Java Web Start и Java плагине, которая позволяет злоумышленнику внедриться в HTTP сессию пользователя.
10. Уязвимость существует из-за ошибки в функционале загрузки классов JRE апплетов. Удаленный пользователь может просмотреть содержимое произвольных файлов на системе и создать сетевые подключения к произвольным хостам.
11. Уязвимость существует из-за ошибки в Java Web Start BasicService, которая позволяет открыть произвольные локальные файлы в браузере пользователя.
12. Уязвимость существует из-за того, что механизм "Java Update" не проверяет цифровые подписи загруженных обновлений. Удаленный пользователь может с помощью атаки «человек посредине» или DNS спуфинг атаки скомпрометировать целевую систему.
13. Уязвимость существует из-за ошибки проверки границ данных при обработке "Main-Class" строк в JAR файле. Удаленный пользователь может с помощью специально сформированного JAR файла вызвать переполнение стека и выполнить произвольный код на целевой системе.
14. Уязвимость существует из-за ошибки при десериализации объектов календаря. Недоверенный Java апплет может прочитать, записать и выполнить произвольные файлы на системе.
15. Целочисленное переполнение обнаружено в JRE. Удаленный пользователь может с помощью специально сформированного Pack200-сжатого JAR файла вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.
16. Уязвимость существует из-за того, что UTF-8 декодер принимает кодировки длиной более чем форма "shortest". Злоумышленник может с помощью специально сформированного URI заставить приложение принять некорректные последовательности получить доступ к важным данным.
17. Уязвимость существует из-за ошибки в JRE, которая позволяет злоумышленнику просмотреть содержимое домашней директории пользователя.
18. Уязвимость существует из-за ошибки при обработке публичных RSA ключей. Удаленный пользователь может с помощью специально сформированного RSA ключа потребить большое количество системных ресурсов.
19. Уязвимость существует из-за ошибки в механизме аутентификации JRE Kerberos. Удаленный пользователь может потребить большое количество системных ресурсов.
20. Уязвимость существует из-за различных ошибок в JAX-WS и JAXB JRE пакетах. Недоверенный Java апплет может прочитать, записать и выполнить произвольные файлы на системе.
21. Уязвимость существует из-за ошибки при обработке ZIP файлов. злоумышленник может с помощью специально сформированного ZIP архива получить доступ к произвольным участкам памяти на системе.
22. Уязвимость существует из-за ошибки, которая позволяет злонамеренному коду, загруженному из локальной файловой системы, получит сетевой доступ к локальному хосту.
23. Уязвимость существует из-за ошибки проверки границ данных при обработке TrueType шрифтов. Удаленный пользователь может с помощью специально сформированного TrueType шрифта вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.
URL производителя: java.sun.com
Решение: Установите исправление с сайта производителя.
JDK and JRE 6 Update 11:
http://java.sun.com/javase/downloads/index.jsp
JDK and JRE 5.0 Update 17:
http://java.sun.com/javase/downloads/index_jdk5.jsp
SDK and JRE 1.4.2_19:
http://java.sun.com/j2se/1.4.2/download.html
SDK and JRE 1.3.1_24:
http://java.sun.com/j2se/1.3/download.html
Источники:
Ссылки:
CVE ID:
Правительство Санкт-Петербурга договорилось с руководством Microsoft о продлении на 2011 год права и ...
Школам дешевле пользоваться лицензионным софтом, нежели свободным программным обеспечением (СПО). Та ...
Депутаты Московской городской думы предлагают установить штрафы за незаконное скачивание фильмов из ...
Оперативники отдела "К" и УБЭП ГУВД Москвы ликвидировали преступную группу программистов, ...
Представители МВД обнаружили пиратское программное обеспечение в российском представительстве LG.
Депутат Мосгордумы Александр Милявский предлагает штрафовать граждан на 2000-5000 руб. за размещение ...
Полковника армии США Лоренса Селлина уволили за критику программы PowerPoint.
Специалисты компании Symantec сообщили об обнаружении нового трояна, с помощью которого злоумышленни ...
Сегодня ночью около двух часов не работал поисковый ресурс Google.
Глава украинского МВД Анатолий Могилев причислил "В Контакте" к сайтам – распространителям ...
"Аэрофлот" подал иск в Арбитражный суд Москвы к банку "ВТБ 24" на 194 ...
Проблема находилась в связке "ядро - графический X-сервер". За счет использования определе ...