CH azonosító
CH-7454Angol cím
Oracle Java Three VulnerabilitiesFelfedezés dátuma
2012.08.26.Súlyosság
KritikusÉrintett rendszerek
OracleSun Java Development Kit (JDK)
Sun Java Runtime Environment (JRE)
Érintett verziók
Oracle Java JDK 1.7.x / 7.x
Oracle Java JRE 1.7.x / 7.x
Összefoglaló
Az Oracle Java több sérülékenységét jelentették, amiket kihasználva a támadók feltörhetik a sérülékeny rendszert.
Leírás
- A “setSecurityManager()” függvényt meg lehet hívni egy applet által, és így be lehet annak állítani saját jogosultságait, amely például tetszőleges programok letöltéséhez és futtatásához vezet. MEGJEGYZÉS: a sérülékenységet jelenleg aktívan kihasználják célzott támadásban.
- A Beans alkomponens egy nem részletezett hibáját kihasználva fel lehet törni a felhasználó rendszerét.
- A Beans alkomponens egy nem részletezett hibáját kihasználva fel lehet törni a felhasználó rendszerét.
A sérülékenységek sikeres kihasználása tetszőleges kód futtatását teszi lehetővé, de csak nem megbízható Java Web Start alkalmazásokon és Java applet-eken keresztül lehet kiváltani.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Security bypass (Biztonsági szabályok megkerülése)Unspecified (Nem részletezett)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.oracle.com
Gyártói referencia: blogs.oracle.com
Egyéb referencia: blog.fireeye.com
CVE-2012-0547 - NVD CVE-2012-0547
CVE-2012-1682 - NVD CVE-2012-1682
CVE-2012-3136 - NVD CVE-2012-3136
CVE-2012-4681 - NVD CVE-2012-4681
SECUNIA 50133