Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Exécution de code arbitraire à distance
Systèmes affectés
Ces vulnérabilités affectent :
- JRE 1.3.x et versions antérieures ;
- JRE 1.4.x et versions antérieures ;
- SDK 1.3.x et versions antérieures ;
- SDK 1.4.x et versions antérieures.
sur les plates-formes Windows, Solaris et Linux. JDK et JRE 5.0 ne sont pas affectés par cette vulnérabilité.
Résumé
Une vulnérabilité présente dans la machine virtuelle Java permet à une personne mal intentionnée de contourner les mesures de sécurité imposées par une applet.
Description
Le JRE (Java Runtime Environment) permet l'exécution de code java.
Cette vulnérabilité, présente dans le JRE, est dûe à une mauvaise gestion lors de l'échange de données entre le code Java et Javascript. Au moyen d'un site web malicieusement constitué, une personne malveillante peut porter atteinte à l'intégrité et à la confidentialité des données présentes sur le système. elle peut également exécuter du code arbitraire à distance avec les privilèges de la victime.
Contournement provisoire
Désactiver dans le navigateur internet la machine virtuelle Java et Javascript, cela a pour effet de rendre inexploitable cette vulnérabilité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. Documentation).
Documentation
- Bulletin de sécurité Apple MacOS X 2005-002 du 22 février 2005 : http://docs.info.apple.com/article.html?artnum=61798
- Bulletin de sécurité FreeBSD pour jdk du 25 novembre 2004 : http://www.vuxml.org/freebsd/
- Bulletin de sécurité Gentoo GLSA 200411-38 du 29 novembre 2004 : http://www.gentoo.org/security/en/glsa/glsa-200411-38.xml
- Bulletin de sécurité HP HPSBUX01100 du 01 décembre 2004 : http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX01100
- Bulletin de sécurité Sun #57591 du 22 novembre 2004 : http://sunsolve.sun.com/search/document.do?assetkey=1-26-57591-1
- Bulletin de sécurité iDEFENSE du 22 novembre 2004 : http://www.idefense.com/application/poi/display?id=158
- Mise à jour de sécurité des paquetages NetBSD sun-jre14, sun-jdk14, sun-jre13 et sun-jdk13 : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/lang/sun-jdk13/README.html
- Mise à jour de sécurité des paquetages NetBSD sun-jre14, sun-jdk14, sun-jre13 et sun-jdk13 : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/lang/sun-jre14/README.html
- Mise à jour de sécurité des paquetages NetBSD sun-jre14, sun-jdk14, sun-jre13 et sun-jdk13 : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/lang/sun-jre13/README.html
- Mise à jour de sécurité des paquetages NetBSD sun-jre14, sun-jdk14, sun-jre13 et sun-jdk13 : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/lang/sun-jdk14/README.html
- Référence CVE CAN-2004-1029 : http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1029
- Site de l'éditeur : http://java.sun.com
