Risques

  • Contournement de la politique de sécurité
  • Divulgation d'informations

Systèmes affectés

Tout système Windows, Linux ou Solaris avec un greffon («plug-in») Java de Sun installé dans le navigateur courant ; Java étant en version 1.4 et antérieur à la révision 1.4.2_06.

Résumé

Il est possible pour une appliquette, disponible sur un site Internet malicieux, soit d'exécuter ou d'accéder à des fichiers quelconques sur le système client, soit de corrompre le fonctionnement d'une autre appliquette.

Description

Deux failles ont été identifiées dans la gestion des appliquettes :

  • une erreur dans l'appel à du code Javascript peut être détournée pour accéder ou exécuter des fichiers ;
  • un second problème permet à une appliquette d'en influencer une autre afin de lui faire charger des pages web ou des fichiers.

Contournement provisoire

La première faille peut-être combattue en désactivant le Javascript pour le cas où cela n'aurait pas déjà été fait.

Solution

Se référer à l'avis de sécurité de Sun pour l'obtention et l'installation d'une version 1.4.2_06 au moins de Java (cf section Documentation).

Documentation