S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 24 octobre 2007
N° CERTA-2007-AVI-454
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans la machine virtuelle Java

Gestion du document

Référence CERTA-2007-AVI-454
Titre Vulnérabilité dans la machine virtuelle Java
Date de la première version24 octobre 2007
Date de la dernière version24 octobre 2007
Source(s) Bulletin de sécurité Sun 103112 du 22 octobre 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Élévation de privilèges

Systèmes affectés

  • JDK et JRE 5 avec la mise à jour 12 et les versions précédentes ;
  • JDK et JRE 6 avec la mise à jour 2 et les versions précédentes ;
  • SDK et JRE 1.3.1_20 et les versions précédentes.
  • SDK et JRE 1.4.2_15 et les versions précédentes ;

Résumé

Une vulnérabilité touchant la machine virtuelle de Java Runtime Environment permettrait à une appliquette (applet) spécialement construite d'élever ses privilèges.

Description

Une vulnérabilité touchant la machine virtuelle de Java Runtime Environment permettrait à une appliquette (applet) spécialement construite d'élever ses privilèges. À titre d'exemple, une appliquette (applet) pourrait s'attribuer des permissions en lecture et en écriture sur des fichiers locaux ou exécuter des applications accessibles par l'utilisateur de l'appliquette (applet).

Solution

Se référer au bulletin de sécurité de Sun pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 24 octobre 2007
    version initiale.