Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Exécution de code arbitraire à distance

Systèmes affectés

Ces vulnérabilités affectent :

  • JRE 1.3.x et versions antérieures ;
  • JRE 1.4.x et versions antérieures ;
  • SDK 1.3.x et versions antérieures ;
  • SDK 1.4.x et versions antérieures.

sur les plates-formes Windows, Solaris et Linux. JDK et JRE 5.0 ne sont pas affectés par cette vulnérabilité.

Résumé

Une vulnérabilité présente dans la machine virtuelle Java permet à une personne mal intentionnée de contourner les mesures de sécurité imposées par une applet.

Description

Le JRE (Java Runtime Environment) permet l'exécution de code java.

Cette vulnérabilité, présente dans le JRE, est dûe à une mauvaise gestion lors de l'échange de données entre le code Java et Javascript. Au moyen d'un site web malicieusement constitué, une personne malveillante peut porter atteinte à l'intégrité et à la confidentialité des données présentes sur le système. elle peut également exécuter du code arbitraire à distance avec les privilèges de la victime.

Contournement provisoire

Désactiver dans le navigateur internet la machine virtuelle Java et Javascript, cela a pour effet de rendre inexploitable cette vulnérabilité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. Documentation).

Documentation