Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Oracle Java version 7 (première vulnérabilité)
  • Versions antérieures à Oracle Java version 7 mise à jour 11 (deuxième vulnérabilité)

Résumé

Deux vulnérabilités ont été découvertes dans Oracle Java. La première vulnérabilité concerne la méthode "findClass" de la classe MBeanInstantiator. Cette vulnérabilité est présente dans Oracle Java version 7.
La deuxième vulnérabilité se trouve dans la nouvelle API Reflection de Oracle Java. Cette nouvelle API est disponible à partir de la branche 1.7 du produit. Cette vulnérabilité est donc présente dans les versions antérieures à Oracle Java version 7 mise à jour 11.
L'association des deux vulnérabilités permet à un attaquant d'exécuter du code arbitraire à distance au moyen d'une page Web spécialement conçue sur les postes possédant une version de Oracle Java antérieure à 1.7.11.
Ces vulnérabilités sont activement exploitées et largement diffusées.

Solution

Installer la dernière version stable de Oracle Java :

  • Oracle Java version 1.7.11

Documentation