Oracle Java sérülékenységek

CH azonosító

CH-9443

Angol cím

Oracle Java Multiple Vulnerabilities

Felfedezés dátuma

2013.06.18.

Súlyosság

Magas

Érintett rendszerek

Java JDK
Java JRE
Oracle

Érintett verziók

Oracle Java JDK 1.5.x / 5.x
Oracle Java JDK 1.7.x / 7.x
Oracle Java JRE 1.7.x / 7.x
Sun Java JDK 1.6.x / 6.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x

Összefoglaló

Az Oracle Java olyan sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú, helyi felhasználók bizalmas információkat és emelt szintű jogosultságot szerezhetnek, illetve a támadók hamisításos (spoofing) támadásokat hajthatnak végre, bizalmas információkat szerezhetnek meg, módosíthatnak bizonyos adatokat, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, és feltörhetik a sérülékeny rendszert.

Leírás

  1. A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  2. A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  3. A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  4. A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  5. A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  6. A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  7. A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  8. A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  9. A kliens telepítés AWT komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  10. A kliens telepítés Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  11. A kliens telepítés Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  12. A kliens telepítés AWT komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  13. A kliens telepítés Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  14. A kliens telepítés Serviceability komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  15. A kliens telepítés Serviceability komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  16. A kliens telepítés Serviceability komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  17. A kliens telepítés Serviceability komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  18. A kliens és szerver telepítés Libraries komponensének egy nem részletezett hibáját kihasználva tetszőleges kódot lehet végrehajtani.
  19. A kliens és szerver telepítés Install komponensének egy nem részletezett hibáját kihasználva a helyi felhasználók emelt szintű jogosultságokat szerezhetnek.
  20. A kliens és szerver telepítés Libraries komponensének egy nem részletezett hibáját kihasználva bizalmas információkat lehet szerezni, illetve szolgáltatás megtagadást előidézni.
  21. A kliens telepítés JDBC komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni, illetve módosítani egyes adatokat.
  22. A kliens telepítés Libraries komponensének egy nem részletezett hibáját kihasználva bizalmas információkat lehet szerezni, illetve módosítani egyes adatokat.
  23. A kliens telepítés AWT komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel szolgáltatás megtagadást lehet előidézni.
  24. A kliens telepítés CORBA komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel szolgáltatás megtagadást lehet előidézni.
  25. A kliens telepítés Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
  26. A kliens telepítés Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel módosítani lehet egyes adatokat.
  27. A kliens telepítés Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel módosítani lehet egyes adatokat.
  28. A kliens és szerver telepítés JMX komponensének egy nem részletezett hibáját kihasználva módosítani lehet egyes adatokat.
  29. A kliens és szerver telepítés JMX komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel módosítani lehet egyes adatokat.
  30. A kliens telepítés Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
  31. A kliens telepítés Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
  32. A kliens telepítés Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
  33. A kliens telepítés Networking komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
  34. A kliens telepítés Serialization komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel szolgáltatás lehet előidézni.
  35. A kliens telepítés Serialization komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
  36. A kliens telepítés Serviceability komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
  37. A kliens telepítés Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
  38. A Javadoc tool-lal generált dokumentumoknak URL-en keresztül átadott bizonyos bemeneti adatok nem megfelelően vannak megtisztítva mielőtt frame-ekben adatok megjelenítésére felhasználásra kerülnének. Ezt kihasználva tetszőleges tartalmat lehet megjeleníteni a felhasználó számára, ha az rákattint egy speciálisan elkészített hivatkozásra.
  39. A kliens és szerver telepítés Networking komponensének egy nem részletezett hibáját kihasználva emelt szintű jogosultságokat lehet szerezni.
  40. A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva a helyi felhasználók bizalmas információkat szerezhetnek, illetve módosíthatnak egyes adatokat.

A sérülékenységek a következő termékekben találhatók:

* JDK and JRE 7 Update 21 és korábbi verziók
* JDK and JRE 6 Update 45 és korábbi verziók
* JDK and JRE 5 Update 45 és korábbi verziók

Megoldás

Telepítse a javítócsomagokat