Security Lab

Множественные уязвимости в Sun Java JRE

Дата публикации:04.10.2007
Дата изменения:19.11.2007
Всего просмотров:2663
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2007-5232
CVE-2007-5236
CVE-2007-5237
CVE-2007-5238
CVE-2007-5239
CVE-2007-5240
CVE-2007-5274
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
Раскрытие системных данных
Неавторизованное изменение данных
Обход ограничений безопасности
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Sun Java JRE 1.3.x
Sun Java JRE 1.4.x
Sun Java SDK 1.3.x
Sun Java SDK 1.4.x
Sun Java JRE 1.5.x / 5.x
Sun Java JDK 1.5.x
Sun Java JRE 1.6.x / 6.x
Sun Java JDK 1.6.x
Уязвимые версии:
JDK and JRE 6 Update 2 и более ранние версии
JDK and JRE 5.0 Update 12 и более ранние версии
SDK and JRE 1.4.2_15 и более ранние версии
SDK and JRE 1.3.1_20 и более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, получить доступ к важным данным и скомпрометировать целевую систему.

1. Уязвимости существуют из-за ошибок в Java Runtime Environment. Удаленный пользователь может с помощью специально сформированного апплета или Java API успешно создать сетевое соединение к определенным службам удаленных хостов.

2. Уязвимость существует из-за ошибок в Java Web Start, которые позволяют специально сформированному апплету просмотреть и записать данные в локальные файлы и определить месторасположение Java Web Start кеша.

3. Уязвимость существует из-за ошибки в Java Runtime Environment, которая позволяет злоумышленнику скопировать или переместить файлы на локальной системе. Для успешной эксплуатации уязвимости злоумышленник должен обманом заставить пользователя перетащить файл из апплета на приложение, которое имеет необходимые привилегии.

URL производителя: www.sun.com

Решение: Установите исправление с сайта производителя.

JDK and JRE 6 Update 3:
http://java.sun.com/javase/downloads/index.jsp

JDK and JRE 5.0 Update 13:
http://java.sun.com/javase/downloads/index_jdk5.jsp

SDK and JRE 1.4.2_16:
http://java.sun.com/j2se/1.4.2/download.html

SDK and JRE 1.3.1 for Solaris 8:
http://java.sun.com/j2se/1.3/download.html

Ссылки: Security Vulnerability in Java Runtime Environment With Applet Caching May Allow Network Access Restrictions to be Circumvented
Security Vulnerabilities in Java Runtime Environment May Allow Network Access Restrictions to be Circumvented
Multiple Security Vulnerabilities in Java Web Start Relating to Local File Access
An Untrusted Java Web Start Application or Java Applet May Move or Copy Arbitrary Files by Requesting the User to Drag and Drop a File from Application or Applet Window to a Desktop Application