Risque
- Élévation de privilèges
Systèmes affectés
Plusieurs implémentations de machines virtuelles Java livrées sur de nombreux systèmes d'exploitation (Solaris, Linux, Windows, HP-UX, Tru64 Unix, OpenVms, Irix), des navigateurs (Internet Explorer, Netscape Navigator) ou outils de supervision (Compaq Insight Manager, Compaq Management Agent).
Pour connaître les versions des systèmes affectés par cette vulnérabilité, consultez les différents bulletins de sécurité mentionnés à la section Documentation.
Résumé
Il est possible d'exécuter du code arbitraire avec les privilèges de l'utilisateur grâce à une appliquette Java habilement conçue.
Description
Une vulnérabilité d'un composant de la machine virtuelle Java (JRE Bytecode Verifier chez Sun et Virtual Machine Verifier chez Microsoft), permet à un utilisateur mal intentionné d'exécuter du code arbitraire en contournant les mécanismes de sécurité restreignant les privilèges d'une appliquette (Sandbox) s'exécutant dans une machine virtuelle Java.
Solution
Appliquez le correctif fourni par l'éditeur :
-
Bulletin de sécurité #00218 de Sun :
http://sunsolve.sun.com/pub-cgi/retrieve.pl?type=0&doc=secbull%2F218&display=plain
-
Bulletin de sécurité MS02-013 de Microsoft :
http://www.microsoft.com/technet/security/bulletin/MS02-013.asp
-
Bulletin de sécurité HPSBUX0203-186 de Hewlett-Packard :
http://archives.neohapsis.com/archives/hp/2002-q1/0084.html
-
Bulletin de sécurité SSRT0822 de Compaq :
http://archives.neohapsis.com/archives/tru64/2002-q2/0021.html
-
Avis de sécurité Netscape :
http://www.netscape/com/security/
-
Bulletin de sécurité 20030303-01-I de SGI :
ftp://patches.sgi.com/support/free/security/advisories/20030303-01-I
Documentation
- Référence CVE CAN-2002-0076 : http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0076