Sun Java JDK / JRE többszörös sérülékenységek

CH azonosító

CH-2387

Felfedezés dátuma

2009.08.04.

Súlyosság

Magas

Érintett rendszerek

Java Development Kit (JDK)
Java Runtime Environment (JRE)
Java SDK
Sun Microsystems

Érintett verziók

Sun Microsystems Java SDK 1.4.x
Sun Microsystems Java Runtime Environment (JRE) 1.4.x, 1.5.x (5.x), 1.6.x (6.x)
Sun Microsystems Java Development Kit (JDK) 1.5.x, 1.6.x

Összefoglaló

A Sun Java több sérülékenysége vált ismertté, amelyeket kihasználva támadók bizalmas információkhoz juthatnak, megkerülhetnek bizonyos biztonsági előírásokat, szolgáltatás megtagadást okozhatnak vagy feltörhetik a felhasználó rendszerét. Egyes sérülékenységeknek ismeretlen a hatása.

Leírás

A Sun Java több sérülékenysége vált ismertté, amelyeket kihasználva támadók bizalmas információkhoz juthatnak, megkerülhetnek bizonyos biztonsági előírásokat, szolgáltatás megtagadást okozhatnak vagy feltörhetik a felhasználó rendszerét. Egyes sérülékenységeknek ismeretlen a hatása.

  1. Egy hiba a JRE SOCKS proxy implementációban, kihasználható nem megbízható kisalkalmazások vagy Java Web Start alkalmazások segítségével az azokat futtató felhasználó nevének megszerzésére.
  2. Egy hiba a JRE proxy implementációban, kihasználható a böngésző sütijeinek (cookie) megszerzésére, nem megbízható kisalkalmazások vagy Java Web Start alkalmazások segítségével.
  3. Egy hiba a JRE proxy implementációban, kihasználható hálózati kapcsolat létrehozására, normál esetben korlátozott hostokkal, nem megbízható kisalkalmazások vagy Java Web Start alkalmazások segítségével.
  4. Egy hiba a Java Web Start ActiveX vezérlő által használt Microsoft Visual Studio Active Template Libraryban (ATL), kihasználható tetszőleges kód végrehajtására, ha a felhasználó egy speciálisan erre a célra elkészített oldalt látogat meg.

    További információk:
    SA35967

  5. Egy egész változó túlcsordulási hiba a JRE-ben kisalkalmazások kicsomagolásakor, és ha a Java Web Start alkalmazások az “unpack200” JAR kicsomagoló eszközt használják, kihasználható halom túlcsordulás előidézésére és tetszőleges kód futtatására.
  6. Egy egész változó túlcsordulási hiba a JRE-ben egyedi bevezető JPEG képek elemzésekor egy speciálisan erre a célra elkészített Java Web Start alkalmazás segítségével kihasználható halom túlcsordulás és tetszőleges kód futtatására.
  7. Egy hiba a JRE audio rendszerében, kihasználható hozzáférés szerzésére a “java.lang.System” tulajdonságaihoz, nem megbízható kisalkalmazások vagy Java Web Start alkalmazások segítségével.
  8. Egy hiba a JNLPAppletLauncher osztály régi verziójában, kihasználható tetszőleges fájl írására a felhasználó rendszerén, egy speciálisan erre a célra elkészített, nem megbízható kisalkalmazás segítségével.
  9. A JRE egy XML adatok elemzésekor jelentkező hibáját kihasználva távoli támadók szolgáltatás megtagadást okozhatnak.

    Ez a sebezhetőség nem érinti az SDK ill. a JRE 1.3.1. és 1.4.2. verzióit.

A gyártó egyéb sebezhetőségeket is említ jelentéseiben. Kérjük, további részletekért és az érintett verziókért. tekintse meg azokat.

Megoldás

Frissítsen a legújabb verzióra