CH azonosító
CH-8949Angol cím
Oracle Java Multiple VulnerabilitiesFelfedezés dátuma
2013.04.16.Súlyosság
MagasÖsszefoglaló
Az Oracle Java és JavaFX több sérülékenységét jelentették, amiket kihasználva a rosszindulatú, helyi felhasználók módosíthatnak egyes adatokat, és emelt szintű jogosultságokat szerezhetnek, illetve a támadók bizalmas információkat szerezhetnek, módosíthatnak egyes adatokat, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, és feltörhetik a sérülékeny rendszert.
Leírás
- A kliens oldali telepítések 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések Beans komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések Hotspot komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések Install komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések JAXP komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések JavaFX komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések JavaFX komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések JavaFX komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens és szerver oldali telepítések RMI komponensének egy nem részletezett hibáját kihasználva tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések RMI komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések HotSpot komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések JavaFX komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések ImageIO komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések ImageIO komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések Install komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
- A kliens oldali telepítések Install komponensének egy nem részletezett hibáját kihasználva a helyi felhasználók emelt szintű jogosultságokat szerezhetnek.
- A kliens oldali telepítések AWT komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével bizonyos adatokat lehet szerezni vagy módosítani.
- A kliens oldali telepítések 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével szolgáltatás megtagadást (DoS – Denial of Service) lehet előidézni.
- A kliens oldali telepítések JMX komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével bizonyos adatokat lehet szerezni.
- A kliens oldali telepítések JavaFX komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével bizonyos adatokat lehet szerezni.
- A kliens oldali telepítések JavaFX komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével bizonyos adatokat lehet módosítani.
- A kliens oldali telepítések JavaFX komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével bizonyos adatokat lehet módosítani.
- A kliens oldali telepítések Networking komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével szolgáltatás megtagadást (DoS – Denial of Service) lehet előidézni.
- A kliens oldali telepítések Deployment komponensének egy nem részletezett hibáját kihasználva a helyi felhasználók emelt szintű jogosultságokat szerezhetnek.
- A kliens oldali telepítések Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével bizonyos adatokat lehet módosítani.
- A kliens oldali telepítések Network komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével bizonyos adatokat lehet módosítani.
- A kliens oldali telepítések Network komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével bizonyos adatokat lehet módosítani.
- A kliens oldali telepítések Hotspot komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével bizonyos adatokat lehet módosítani.
- A kliens és szerver oldali telepítések JAX-WS komponensének egy nem részletezett hibáját kihasználva a helyi felhasználók módosíthatnak egyes adatokat.
A sérülékenységeket az alábbi termékekben jelentették:
- JDK és JRE 7 Update 17 és korábbi verziók
- JDK és JRE 6 Update 43 és korábbi verziók
- JDK és JRE 5.0 Update 41 és korábbi verziók
- Oracle JavaFX 2.2.7 és korábbi verziók
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Unspecified (Nem részletezett)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.oracle.com
Gyártói referencia: www.oracle.com
SECUNIA 53008
SECUNIA 53095
CVE-2013-0401 - NVD CVE-2013-0401
CVE-2013-0402 - NVD CVE-2013-0402
CVE-2013-1488 - NVD CVE-2013-1488
CVE-2013-1491 - NVD CVE-2013-1491
CVE-2013-1518 - NVD CVE-2013-1518
CVE-2013-1537 - NVD CVE-2013-1537
CVE-2013-1540 - NVD CVE-2013-1540
CVE-2013-1557 - NVD CVE-2013-1557
CVE-2013-1558 - NVD CVE-2013-1558
CVE-2013-1561 - NVD CVE-2013-1561
CVE-2013-1563 - NVD CVE-2013-1563
CVE-2013-1564 - NVD CVE-2013-1564
CVE-2013-1569 - NVD CVE-2013-1569
CVE-2013-2383 - NVD CVE-2013-2383
CVE-2013-2384 - NVD CVE-2013-2384
CVE-2013-2394 - NVD CVE-2013-2394
CVE-2013-2414 - NVD CVE-2013-2414
CVE-2013-2415 - NVD CVE-2013-2415
CVE-2013-2416 - NVD CVE-2013-2416
CVE-2013-2417 - NVD CVE-2013-2417
CVE-2013-2418 - NVD CVE-2013-2418
CVE-2013-2419 - NVD CVE-2013-2419
CVE-2013-2420 - NVD CVE-2013-2420
CVE-2013-2421 - NVD CVE-2013-2421
CVE-2013-2422 - NVD CVE-2013-2422
CVE-2013-2423 - NVD CVE-2013-2423
CVE-2013-2424 - NVD CVE-2013-2424
CVE-2013-2425 - NVD CVE-2013-2425
CVE-2013-2426 - NVD CVE-2013-2426
CVE-2013-2427 - NVD CVE-2013-2427
CVE-2013-2428 - NVD CVE-2013-2428
CVE-2013-2429 - NVD CVE-2013-2429
CVE-2013-2430 - NVD CVE-2013-2430
CVE-2013-2431 - NVD CVE-2013-2431
CVE-2013-2432 - NVD CVE-2013-2432
CVE-2013-2433 - NVD CVE-2013-2433
CVE-2013-2434 - NVD CVE-2013-2434
CVE-2013-2435 - NVD CVE-2013-2435
CVE-2013-2436 - NVD CVE-2013-2436
CVE-2013-2438 - NVD CVE-2013-2438
CVE-2013-2439 - NVD CVE-2013-2439
CVE-2013-2440 - NVD CVE-2013-2440