Érintett rendszerek
Java Development Kit (JDK)Java Runtime Environment (JRE)
Java SDK
Sun Microsystems
Érintett verziók
Sun Microsystems Java SDK 1.4.x
Sun Microsystems Java Runtime Environment (JRE) 1.4.x, 1.5.x (5.x), 1.6.x (6.x)
Sun Microsystems Java Development Kit (JDK) 1.5.x, 1.6.x
Összefoglaló
A Sun Java több sérülékenysége vált ismertté, amelyeket kihasználva támadók bizalmas információkhoz juthatnak, megkerülhetnek bizonyos biztonsági előírásokat, szolgáltatás megtagadást okozhatnak vagy feltörhetik a felhasználó rendszerét. Egyes sérülékenységeknek ismeretlen a hatása.
Leírás
A Sun Java több sérülékenysége vált ismertté, amelyeket kihasználva támadók bizalmas információkhoz juthatnak, megkerülhetnek bizonyos biztonsági előírásokat, szolgáltatás megtagadást okozhatnak vagy feltörhetik a felhasználó rendszerét. Egyes sérülékenységeknek ismeretlen a hatása.
- Egy hiba a JRE SOCKS proxy implementációban, kihasználható nem megbízható kisalkalmazások vagy Java Web Start alkalmazások segítségével az azokat futtató felhasználó nevének megszerzésére.
- Egy hiba a JRE proxy implementációban, kihasználható a böngésző sütijeinek (cookie) megszerzésére, nem megbízható kisalkalmazások vagy Java Web Start alkalmazások segítségével.
- Egy hiba a JRE proxy implementációban, kihasználható hálózati kapcsolat létrehozására, normál esetben korlátozott hostokkal, nem megbízható kisalkalmazások vagy Java Web Start alkalmazások segítségével.
-
Egy hiba a Java Web Start ActiveX vezérlő által használt Microsoft Visual Studio Active Template Libraryban (ATL), kihasználható tetszőleges kód végrehajtására, ha a felhasználó egy speciálisan erre a célra elkészített oldalt látogat meg.
További információk:
SA35967 - Egy egész változó túlcsordulási hiba a JRE-ben kisalkalmazások kicsomagolásakor, és ha a Java Web Start alkalmazások az “unpack200” JAR kicsomagoló eszközt használják, kihasználható halom túlcsordulás előidézésére és tetszőleges kód futtatására.
- Egy egész változó túlcsordulási hiba a JRE-ben egyedi bevezető JPEG képek elemzésekor egy speciálisan erre a célra elkészített Java Web Start alkalmazás segítségével kihasználható halom túlcsordulás és tetszőleges kód futtatására.
- Egy hiba a JRE audio rendszerében, kihasználható hozzáférés szerzésére a “java.lang.System” tulajdonságaihoz, nem megbízható kisalkalmazások vagy Java Web Start alkalmazások segítségével.
- Egy hiba a JNLPAppletLauncher osztály régi verziójában, kihasználható tetszőleges fájl írására a felhasználó rendszerén, egy speciálisan erre a célra elkészített, nem megbízható kisalkalmazás segítségével.
-
A JRE egy XML adatok elemzésekor jelentkező hibáját kihasználva távoli támadók szolgáltatás megtagadást okozhatnak.
Ez a sebezhetőség nem érinti az SDK ill. a JRE 1.3.1. és 1.4.2. verzióit.
A gyártó egyéb sebezhetőségeket is említ jelentéseiben. Kérjük, további részletekért és az érintett verziókért. tekintse meg azokat.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: sunsolve.sun.com
Gyártói referencia: sunsolve.sun.com
Gyártói referencia: sunsolve.sun.com
Gyártói referencia: sunsolve.sun.com
Gyártói referencia: sunsolve.sun.com
Gyártói referencia: sunsolve.sun.com
SECUNIA 35967
SECUNIA 36159
Gyártói referencia: sunsolve.sun.com