Az iDefense kutatói több túlcsordulálsos hiábt fedeztek fel a Java Runtive Environment (JRE) és a Java Web Start (JWS) egyes változataiban. A sebezhetőségek távoli kódfuttatást tesznek lehetővé az érintett rendszereken, amennyiben az áldozat egy speciálisan elkészített weboldalra látogat.
- Sun Java JRE TrueType Font Parsing Heap Overflow Vulnerability
- Sun Java Web Start GIF Decoding Memory Corruption Vulnerability
- Sun Java JRE Pack200 Decompression Integer Overflow Vulnerability
- Sun Java JRE TrueType Font Parsing Integer Overflow Vulnerability
A Sun több foltot is kiadott a problémák orvoslására, valamint a fenti linkeken megtalálhatók az alkalmazható workaroundok is
Frissítés:
A Zero Day Initiative is előrukkolt egy sor sebezhetőséggel. Ezek egyike információszivárgást tesz lehetővé a SingleInstanceImpl osztály SI_FILEDIR adattagján keresztül; a másik az appletek sandboxából történő kitöréstre ad lehetőséget a file: protokollkezelő használatával, a harmadik pedig a socket korlátozásokat szünteti meg, tetszőleges hoszt számára lehetővé téve ezzel a kapcsolódást.
EQ · http://rycon.hu 2008.12.06. 01:28:33
szleng.blog.hu/2007/03/15/buher
buherator · http://buhera.blog.hu 2008.12.06. 13:29:23
xD