S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 24 janvier 2005
N° CERTA-2005-AVI-028
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Failles dans les greffons Java de Sun

Gestion du document

Référence CERTA-2005-AVI-028
Titre Failles dans les greffons Java de Sun
Date de la première version24 janvier 2005
Date de la dernière version24 janvier 2005
Source(s) Avis de sécurité Sun #57708
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Contournement de la politique de sécurité
  • Divulgation d'informations

Systèmes affectés

Tout système Windows, Linux ou Solaris avec un greffon («plug-in») Java de Sun installé dans le navigateur courant ; Java étant en version 1.4 et antérieur à la révision 1.4.2_06.

Résumé

Il est possible pour une appliquette, disponible sur un site Internet malicieux, soit d'exécuter ou d'accéder à des fichiers quelconques sur le système client, soit de corrompre le fonctionnement d'une autre appliquette.

Description

Deux failles ont été identifiées dans la gestion des appliquettes :

  • une erreur dans l'appel à du code Javascript peut être détournée pour accéder ou exécuter des fichiers ;
  • un second problème permet à une appliquette d'en influencer une autre afin de lui faire charger des pages web ou des fichiers.

Contournement provisoire

La première faille peut-être combattue en désactivant le Javascript pour le cas où cela n'aurait pas déjà été fait.

Solution

Se référer à l'avis de sécurité de Sun pour l'obtention et l'installation d'une version 1.4.2_06 au moins de Java (cf section Documentation).

Documentation

Gestion détaillée du document

    le 24 janvier 2005
    version initiale.