Risques

  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance

Systèmes affectés

Tout système Windows, Solaris ou Linux utilisant :

  • Java 2 Standard Edition (J2SE) version 5.0 (1.5.0) dans une version précédent l'« Update 2 » ;
  • J2SE 1.4.2 dans une version antérieure à la 1.4.2_08.

Résumé

Des vulnérabilités peuvent être exploitées par des appliquettes quelconques pour élever leurs privilèges ce qui permet, par exemple, d'exécuter du code ou d'accéder à des fichiers arbitraires.

Description

Les failles concernent, d'une part, le « Java Runtime Environment » (JRE) et peuvent donc être exploitées par des sites malicieux à travers tout navigateur utilisant l'environnement de Sun, et d'autre part, l'outil « Java Web Start » qui peut être invoqué par un navigateur ou l'interface graphique du bureau.

Contournement provisoire

Désactiver l'invocation automatique de « Java Web Start » dans les navigateurs et dans l'explorateur pour Microsoft Windows.

Supprimer l'exécution des appliquettes Java dans les navigateurs ou la restreindre à des appliquettes de confiance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation