Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Mac OS X versions 10.5.7 et antérieures disposant de la version 1.5.0_16 et antérieures de Java.

Résumé

Une vulnérabilité de la Machine Virtuelle Java permet à un individu distant d'exécuter du code arbitraire.

Description

Une vulnérabilité, décrite dans le bulletin CVE CVE-2008-5353, non-corrigée pour les systèmes Mac OS X permet à un individu distant d'exécuter du code arbitraire. Cette vulnérabilité affecte la Machine Virtuelle Java du système. Les navigateurs permettant l'exécution de Java sont affectés (Mozilla Firefox et Safari notamment). La visite d'une page compromise ou malveillante permet d'exécuter du code arbitraire sur un système vulnérable.

Des codes exploitant cette vulnérabilité sont disponibles sur l'Internet.

Contournement provisoire

Dans l'attente d'un correctif approprié il est recommandé de :

  • ne pas exécuter de code Java dont la source n'est pas sûre ;
  • désactiver la prise en charge de Java dans le navigateur :
    • dans les Préférences de Mozilla Firefox : décocher la case « Activer Java » dans l'onglet « Contenu » ;
    • dans les Préférences de Safari : décocher la case « Activer Java » dans l'onglet « Sécurité ».
  • n'activer Java que sur les sites de confiance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation