В Java 6 Update 13 исправлено 16 уязвимостей

26 марта 2009 года

Компания Sun Microsystems выпустила внеплановые версии обновления Java: JRE 6 Update 13, JRE 5.0 Update 18, JRE 1.4.2_20 и JRE 1.3.1_25 с исправлением 16 уязвимостей, уровень опасности 9 из которых оценивается как критический:

  • Ошибка в JRE LDAP клиенте может быть использована злоумышленником для загрузки и выполнения произвольного кода, при получении специально подготовленных данных со стороннего LDAP сервера;
  • Переполнение буфера и целочисленное переполнение в JRE, позволяют двумя разными способами выполнить код злоумышленника в момент распаковки средствами утилиты "unpack200" специально модифицированных JAR архивов, с апплетами и приложениями Java Web Start;
  • Ошибка распаковки сериализированных данных в Java плагине, позволяет злуомышленнику добиться чтения, записи и выполнения файлов с локального диска;
  • Ошибка в виртуальной машине JRE, может быть использована для чтения, записи и выполнения файлов с локального диска, в момент генерации кода на платформе Solaris SPARC;
  • Три переполнения буфера в обработчиках GIF и PNG изображений могут привести к выполнению кода злоумышленника в системе при выполнении специально подготовленного апплета или Java Web Start приложения ;
  • Ошибка в JRE позволяет апплету или Java Web Start приложению инициировать переполнение буфера в момент обработки шрифтов, что может привести к выполнению кода злоумышленника;
  • Ошибка в JRE HTTP сервере позволяет злоумышленнику заблокировать работу JAX-WS сервиса;
  • Java плагин позволяет локально загруженному JavaScript коду осуществить соединение с заданным сетевым портом, что может быть использовано в комбинации с XSS атакой (межсайтовый скриптинг) для организации соединения к прикрытым от внешнего мира сетевым сервисам локальной машины;
  • Java плагин позволяет выполнить апплеты под управлением более ранних версий JRE, если это разрешено пользователем. Может быть использовано через ввод пользователя в заблуждение для запуска кода эксплуатирующего уязвимости прошлых версий JRE;
  • Ошибка обработки crossdomain.xml файлов в Java плагине, может быть использована в апплетах злоумышленника для соединения к произвольным доменам, распространяющим crossdomain.xml файлы;
  • Ошибка в Java плагине позволяет валидному апплету изменить содержимое диалога с предупреждением безопасности и ввести пользователя в заблуждение;
  • Две ошибки в коде сохранения и обработки временных файлов со шрифтами, позволяют специально подготовленному апплету или Java Web Start приложению исчерпать место на диске;
  • Ошибка при инициализации LDAP соединений может быть использована для блокирования работы LDAP сервиса;

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «В Java 6 Update 13 исправлено 16 уязвимостей», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.