Description Technique

Plusieurs vulnérabilités ont été identifiées dans Sun JRE, JDK et SDK, elles pourraient être exploitées par des attaquants afin de contourner les mesures de sécurité, obtenir des informations sensibles ou compromettre un système vulnérable.

Le premier problème résulte d'une erreur inconnue pouvant permettre à des applications Java Web Start ou à des applets de déplacer ou copier des fichiers au sein d'un système vulnérable en incitant un utilisateur à glisser un fichier depuis l'application ou l'applet vers une application locale.

La seconde vulnérabilité est due à des erreurs présentes dans Java Web Start, ce qui pourrait être exploité par des applications malicieuses afin de déterminer le chemin vers le cache JWS et accéder en lecture et écriture à des fichiers arbitraires.

La dernière faille est due à des erreurs inconnues pouvant être exploitées par des pages web malicieuses afin d'établir des connexions vers des systèmes distants via le système vulnérable.

Crédit

Vulnérabilités découvertes par Peter Csepely, Dan Boneh, Collin Jackson, Adam Barth, Andrew Bortz, Weidong Shao, David Byrne et Billy Rios.

Historique

2007-10-04 : Version Initiale

Recevez les bulletins VUPEN

Le service VUPEN Security VNS permet aux professionnels de la sécurité (RSSI, DSI, administrateurs et consultants) de recevoir en temps-réel, par email, SMS et flux RSS/XML, des bulletins de vulnérabilités complets, détaillés et personnalisés.