Risque
- Elévation de privilèges ;
- atteinte à la confidentialité des données.
Systèmes affectés
Ces vulnérabilités affectent :
- SDK et JRE versions 1.4.2_04 et antérieures ;
- SDK et JRE versions 1.4.1_07 et antérieures ;
- SDK et JRE versions 1.4.0_04 et antérieures.
sur les plates-formes Windows, Solaris et Linux. Les versions antéreures à 1.4.0 de SDK et JRE ne sont pas affectées par ces vulnérabilités.
Résumé
Une vulnérabilité présente dans le processeur XSLT (Extensible Stylesheet Language Transformation) de la machine virtuelle java (JRE) permet à une applet non privilégiée de lire les données d'une autre applet traitée par le processeur XSLT et d'élever ses privilèges.
Description
Le JRE (Java Runime Environment) permet l'exécution de code java.
XSLT (Extensible Stylesheet Language Transformation) est un processeur inclu dans le JRE, destiné a réécrire des documents XML (eXtensible Markup Language) vers un format différent.
Une vulnérabilité présente dans le JRE permet à un utilisateur mal intentionné de récuperer des données d'une applet, et d'élever ses privilèges au moyen d'une applet malicieuse contenue dans une page HTML.
Solution
Mettre à jour SDK et JRE avec la version 1.4.2_05 ou supérieure :
http://java.sun.com/j2se/
Documentation
- Bulletin de sécurité #57613 de SUN du 2 août 2004 :
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/57613
- Bulletin de sécurité HPSBUX01087 du 12 octobre 2004 :
http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX01087
