Security Lab

Множественные уязвимости в Oracle Java

Дата публикации:17.04.2013
Дата изменения:19.04.2013
Всего просмотров:3066
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:42
CVSSv2 рейтинг: 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
7.6 (AV:N/AC:H/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
7.6 (AV:N/AC:H/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
7.6 (AV:N/AC:H/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
7.6 (AV:N/AC:H/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
7.2 (AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
5.8 (AV:N/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C)
4.6 (AV:L/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
2.1 (AV:L/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
2.1 (AV:L/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
CVE ID: CVE-2013-0401
CVE-2013-0402
CVE-2013-1488
CVE-2013-1491
CVE-2013-1518
CVE-2013-1537
CVE-2013-1540
CVE-2013-1557
CVE-2013-1558
CVE-2013-1561
CVE-2013-1563
CVE-2013-1564
CVE-2013-1569
CVE-2013-2383
CVE-2013-2384
CVE-2013-2394
CVE-2013-2414
CVE-2013-2415
CVE-2013-2416
CVE-2013-2417
CVE-2013-2418
CVE-2013-2419
CVE-2013-2420
CVE-2013-2421
CVE-2013-2422
CVE-2013-2423
CVE-2013-2424
CVE-2013-2425
CVE-2013-2426
CVE-2013-2427
CVE-2013-2428
CVE-2013-2429
CVE-2013-2430
CVE-2013-2431
CVE-2013-2432
CVE-2013-2433
CVE-2013-2434
CVE-2013-2435
CVE-2013-2436
CVE-2013-2438
CVE-2013-2439
CVE-2013-2440
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
Раскрытие важных данных
Неавторизованное изменение данных
Повышение привилегий
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии:
Oracle Java JDK 1.5.x / 5.x
Oracle Java JDK 1.7.x / 7.x
Oracle Java JRE 1.7.x / 7.x
Sun Java JDK 1.6.x / 6.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибки в компоненте 2D. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

2. Уязвимость существует из-за ошибки в компоненте 2D. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

3. Уязвимость существует из-за ошибки в компоненте 2D. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

4. Уязвимость существует из-за ошибки в компоненте 2D. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

5. Уязвимость существует из-за ошибки в компоненте 2D. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

6. Уязвимость существует из-за ошибки в компоненте 2D. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

7. Уязвимость существует из-за ошибки в компоненте 2D. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

8. Уязвимость существует из-за ошибки в компоненте 2D. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

9. Уязвимость существует из-за ошибки в компоненте Deployment. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

10. Уязвимость существует из-за ошибки в компоненте Deployment. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

11. Уязвимость существует из-за ошибки в компоненте Hotspot. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

12. Уязвимость существует из-за ошибки в компоненте Install. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

13. Уязвимость существует из-за ошибки в компоненте JAXP. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

14. Уязвимость существует из-за ошибки в компоненте JavaFX. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

15. Уязвимость существует из-за ошибки в компоненте JavaFX. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

16. Уязвимость существует из-за ошибки в компоненте JavaFX. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

17. Уязвимость существует из-за ошибки в компоненте JavaFX. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

18. Уязвимость существует из-за ошибки в компоненте RMI. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

19. Уязвимость существует из-за ошибки в компоненте RMI. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

20. Уязвимость существует из-за ошибки в компоненте HotSpot. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

21. Уязвимость существует из-за ошибки в компоненте JavaFX. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

22. Уязвимость существует из-за ошибки в компоненте Libraries. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

23. Уязвимость существует из-за ошибки в компоненте Libraries. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

24. Уязвимость существует из-за ошибки в компоненте Libraries. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

25. Уязвимость существует из-за ошибки в компоненте 2D. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

26. Уязвимость существует из-за ошибки в компоненте ImageIO. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

27. Уязвимость существует из-за ошибки в компоненте ImageIO. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

27. Уязвимость существует из-за ошибки в компоненте Install. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

28. Уязвимость существует из-за ошибки в компоненте Install. Удаленный пользователь может с помощью специально сформированного Java Web Start приложения и Java апплета выполнить произвольный код н целевой системе.

29. Уязвимость существует из-за ошибки в компоненте Install. Локальный пользователь может повысить привилегии на системе.

30. Уязвимость существует из-за ошибки в компоненте AWT. Удаленный пользователь может раскрыть важные данные или осуществить неавторизованное изменение данных.

30. Уязвимость существует из-за ошибки в компоненте 2D. Удаленный пользователь может вызвать отказ в обслуживании.

31. Уязвимость существует из-за ошибки в компоненте JMX. Удаленный пользователь может раскрыть важные данные.

32. Уязвимость существует из-за ошибки в компоненте JMX. Удаленный пользователь может раскрыть важные данные.

33. Уязвимость существует из-за неизвестной ошибки в компоненте JavaFX. Удаленный пользователь может раскрыть важные данные.

34. Уязвимость существует из-за неизвестной ошибки в компоненте JavaFX. Удаленный пользователь может осуществить неавторизованное изменение данных.

35. Уязвимость существует из-за неизвестной ошибки в компоненте JavaFX. Удаленный пользователь может вызвать отказ в обслуживании.

36. Уязвимость существует из-за неизвестной ошибки в компоненте Networking. Удаленный пользователь может вызвать отказ в обслуживании.

37. Уязвимость существует из-за неизвестной ошибки в компоненте Deployment. Удаленный пользователь может вызвать отказ в обслуживании.

38. Уязвимость существует из-за неизвестной ошибки в компоненте Deployment. Удаленный пользователь может осуществить неавторизованное изменение данных.

39. Уязвимость существует из-за неизвестной ошибки в компоненте Network. Удаленный пользователь может осуществить неавторизованное изменение данных.

40. Уязвимость существует из-за неизвестной ошибки в компоненте Network. Удаленный пользователь может осуществить неавторизованное изменение данных.

41.Уязвимость существует из-за неизвестной ошибки в компоненте Hotspot. Удаленный пользователь может осуществить неавторизованное изменение данных.

40. Уязвимость существует из-за неизвестной ошибки в компоненте Hotspot. Удаленный пользователь может осуществить неавторизованное изменение данных.

42. Уязвимость существует из-за неизвестной ошибки в компоненте Hotspot. Удаленный пользователь может осуществить неавторизованное изменение данных.

URL производителя: http://www.oracle.com/

Решение: Для устранения уязвимостей установите исправление с сайта производителя.

Ссылки: Java Web Start Launcher ActiveX Control - Memory Corruption Exploit

http://www.oracle.com/technetwork/topics/security/javacpuapr2013-1928497.html
http://www.oracle.com/technetwork/topics/security/javacpuapr2013verbose-1928687.html
Журнал изменений: a:2:{s:4:"TEXT";s:79:"18.04.2013
Добавлено описание уязвимости № 41 19.04.2013 - Добавлен PoC-код";s:4:"TYPE";s:4:"html";}