Oracle Java és JavaFX sérülékenységek

CH azonosító

CH-8949

Angol cím

Oracle Java Multiple Vulnerabilities

Felfedezés dátuma

2013.04.16.

Súlyosság

Magas

Érintett rendszerek

Java JDK
Java JRE
JavaFX
Oracle

Érintett verziók

Oracle Java JDK 1.5.x / 5.x
Oracle Java JDK 1.7.x / 7.x
Oracle Java JRE 1.7.x / 7.x
Sun Java JDK 1.6.x / 6.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x
Oracle JavaFX 2.x

Összefoglaló

Az Oracle Java és JavaFX több sérülékenységét jelentették, amiket kihasználva a rosszindulatú, helyi felhasználók módosíthatnak egyes adatokat, és emelt szintű jogosultságokat szerezhetnek, illetve a támadók bizalmas információkat szerezhetnek, módosíthatnak egyes adatokat, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, és feltörhetik a sérülékeny rendszert.

Leírás

  1. A kliens oldali telepítések 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  2. A kliens oldali telepítések 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  3. A kliens oldali telepítések 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  4. A kliens oldali telepítések 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  5. A kliens oldali telepítések 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  6. A kliens oldali telepítések 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  7. A kliens oldali telepítések 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  8. A kliens oldali telepítések Beans komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  9. A kliens oldali telepítések Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  10. A kliens oldali telepítések Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  11. A kliens oldali telepítések Hotspot komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  12. A kliens oldali telepítések Install komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  13. A kliens oldali telepítések JAXP komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  14. A kliens oldali telepítések JavaFX komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  15. A kliens oldali telepítések JavaFX komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  16. A kliens oldali telepítések JavaFX komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  17. A kliens oldali telepítések Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  18. A kliens és szerver oldali telepítések RMI komponensének egy nem részletezett hibáját kihasználva tetszőleges kódot lehet végrehajtani.
  19. A kliens oldali telepítések RMI komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  20. A kliens oldali telepítések HotSpot komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  21. A kliens oldali telepítések JavaFX komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  22. A kliens oldali telepítések Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  23. A kliens oldali telepítések Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  24. A kliens oldali telepítések Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  25. A kliens oldali telepítések 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  26. A kliens oldali telepítések ImageIO komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  27. A kliens oldali telepítések ImageIO komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  28. A kliens oldali telepítések Install komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével tetszőleges kódot lehet végrehajtani.
  29. A kliens oldali telepítések Install komponensének egy nem részletezett hibáját kihasználva a helyi felhasználók emelt szintű jogosultságokat szerezhetnek.
  30. A kliens oldali telepítések AWT komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével bizonyos adatokat lehet szerezni vagy módosítani.
  31. A kliens oldali telepítések 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével szolgáltatás megtagadást (DoS – Denial of Service) lehet előidézni.
  32. A kliens oldali telepítések JMX komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével bizonyos adatokat lehet szerezni.
  33. A kliens oldali telepítések JavaFX komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével bizonyos adatokat lehet szerezni.
  34. A kliens oldali telepítések JavaFX komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével bizonyos adatokat lehet módosítani.
  35. A kliens oldali telepítések JavaFX komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével bizonyos adatokat lehet módosítani.
  36. A kliens oldali telepítések Networking komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével szolgáltatás megtagadást (DoS – Denial of Service) lehet előidézni.
  37. A kliens oldali telepítések Deployment komponensének egy nem részletezett hibáját kihasználva a helyi felhasználók emelt szintű jogosultságokat szerezhetnek.
  38. A kliens oldali telepítések Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével bizonyos adatokat lehet módosítani.
  39. A kliens oldali telepítések Network komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével bizonyos adatokat lehet módosítani.
  40. A kliens oldali telepítések Network komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével bizonyos adatokat lehet módosítani.
  41. A kliens oldali telepítések Hotspot komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazások vagy nem megbízható Java applet-ek segítségével bizonyos adatokat lehet módosítani.
  42. A kliens és szerver oldali telepítések JAX-WS komponensének egy nem részletezett hibáját kihasználva a helyi felhasználók módosíthatnak egyes adatokat.

A sérülékenységeket az alábbi termékekben jelentették:

  • JDK és JRE 7 Update 17 és korábbi verziók
  • JDK és JRE 6 Update 43 és korábbi verziók
  • JDK és JRE 5.0 Update 41 és korábbi verziók
  • Oracle JavaFX 2.2.7 és korábbi verziók

Megoldás

Frissítsen a legújabb verzióra

Hivatkozások

Gyártói referencia: www.oracle.com
Gyártói referencia: www.oracle.com
SECUNIA 53008
SECUNIA 53095
CVE-2013-0401 - NVD CVE-2013-0401
CVE-2013-0402 - NVD CVE-2013-0402
CVE-2013-1488 - NVD CVE-2013-1488
CVE-2013-1491 - NVD CVE-2013-1491
CVE-2013-1518 - NVD CVE-2013-1518
CVE-2013-1537 - NVD CVE-2013-1537
CVE-2013-1540 - NVD CVE-2013-1540
CVE-2013-1557 - NVD CVE-2013-1557
CVE-2013-1558 - NVD CVE-2013-1558
CVE-2013-1561 - NVD CVE-2013-1561
CVE-2013-1563 - NVD CVE-2013-1563
CVE-2013-1564 - NVD CVE-2013-1564
CVE-2013-1569 - NVD CVE-2013-1569
CVE-2013-2383 - NVD CVE-2013-2383
CVE-2013-2384 - NVD CVE-2013-2384
CVE-2013-2394 - NVD CVE-2013-2394
CVE-2013-2414 - NVD CVE-2013-2414
CVE-2013-2415 - NVD CVE-2013-2415
CVE-2013-2416 - NVD CVE-2013-2416
CVE-2013-2417 - NVD CVE-2013-2417
CVE-2013-2418 - NVD CVE-2013-2418
CVE-2013-2419 - NVD CVE-2013-2419
CVE-2013-2420 - NVD CVE-2013-2420
CVE-2013-2421 - NVD CVE-2013-2421
CVE-2013-2422 - NVD CVE-2013-2422
CVE-2013-2423 - NVD CVE-2013-2423
CVE-2013-2424 - NVD CVE-2013-2424
CVE-2013-2425 - NVD CVE-2013-2425
CVE-2013-2426 - NVD CVE-2013-2426
CVE-2013-2427 - NVD CVE-2013-2427
CVE-2013-2428 - NVD CVE-2013-2428
CVE-2013-2429 - NVD CVE-2013-2429
CVE-2013-2430 - NVD CVE-2013-2430
CVE-2013-2431 - NVD CVE-2013-2431
CVE-2013-2432 - NVD CVE-2013-2432
CVE-2013-2433 - NVD CVE-2013-2433
CVE-2013-2434 - NVD CVE-2013-2434
CVE-2013-2435 - NVD CVE-2013-2435
CVE-2013-2436 - NVD CVE-2013-2436
CVE-2013-2438 - NVD CVE-2013-2438
CVE-2013-2439 - NVD CVE-2013-2439
CVE-2013-2440 - NVD CVE-2013-2440