Faille de sécurité : deux faux pas de Java
Deux brèches dans Java Web start et Sun Java Runtime Environment viennent ...
Deux brèches dans Java Web start et Sun Java Runtime Environment viennent d'être décelées par des géologues en sécurité.
La première frappe Java Web Start pour Windows, Solaris et Linux. Comme souvent, l'erreur peut être exploitée par une application malicieuse afin d'exécuter du code arbitraire sur la machine faillible. Elle concerne spécifiquement les exécutables Javaws.exe (sous Windows) et Javaws (Solaris et Sun) lors de la gestion de certains fichiers. Cela vise spécialement Java Web Start dans Java 2 Platform Standard Edition 5.0 et Update 1 (Windows, Solaris et Linux).
La seconde, du même acabit, frappe Java platform Standard Edition (J2SE). Elle est exploitable cette fois par une applet malicieuse, laquelle permet de lire, placer ou exécuter un fichier arbitraire sur la machine vulnérable. L'attaquant, par ce biais, dispose en outre des mêmes droits et privilèges que l'attaqué. Les versions affectées sont J2SE 1.4.2_07 et inférieures, J2SE 5.0 et J2SE 5.0 Update 1 (toujours sous Windows, Solaris et Linux).
La plupart des navigateurs (Opera, Mozilla, Firefox, Internet Explorer, etc.) sont indirectement faillibles s'ils utilisent une version non patchée de Java. Alors afin de continuer la danse, mettez à jour Java 2 Platform Standard Edition 5.0 Update 2 ou J2SE version 1.4.2_08 à partir du site de l'éditeur. On consultera les avis originaux ici et là.
La première frappe Java Web Start pour Windows, Solaris et Linux. Comme souvent, l'erreur peut être exploitée par une application malicieuse afin d'exécuter du code arbitraire sur la machine faillible. Elle concerne spécifiquement les exécutables Javaws.exe (sous Windows) et Javaws (Solaris et Sun) lors de la gestion de certains fichiers. Cela vise spécialement Java Web Start dans Java 2 Platform Standard Edition 5.0 et Update 1 (Windows, Solaris et Linux).
La seconde, du même acabit, frappe Java platform Standard Edition (J2SE). Elle est exploitable cette fois par une applet malicieuse, laquelle permet de lire, placer ou exécuter un fichier arbitraire sur la machine vulnérable. L'attaquant, par ce biais, dispose en outre des mêmes droits et privilèges que l'attaqué. Les versions affectées sont J2SE 1.4.2_07 et inférieures, J2SE 5.0 et J2SE 5.0 Update 1 (toujours sous Windows, Solaris et Linux).
La plupart des navigateurs (Opera, Mozilla, Firefox, Internet Explorer, etc.) sont indirectement faillibles s'ils utilisent une version non patchée de Java. Alors afin de continuer la danse, mettez à jour Java 2 Platform Standard Edition 5.0 Update 2 ou J2SE version 1.4.2_08 à partir du site de l'éditeur. On consultera les avis originaux ici et là.
Source :
Secunia
Marc Rees
le 15 juin 2005 à 16:44
(10 132
lectures)
Actualités et brèves relatives
- 14 / 06 / 2005 : Sun offre StarOffice dans son programme philanthropique
- 09 / 06 / 2005 : OpenSolaris prévu pour la semaine prochaine
- 10 / 05 / 2005 : OpenOffice 2.0 controversé pour l'utilisation du Java
- 29 / 03 / 2005 : Sun assouplit la licence de Java
