Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Súlyos Java sebezhetőségek (frissítve)

2009.03.26. 21:03 | buherator | Szólj hozzá!

A JDK és JRE 5-ös szériájának unpack200 programjában található integer túlcsordulás probléma lehetőséget ad arra, hogy speciális JAR archívumok segítségével rosszindulatú kódot futtassunk az árintett verziókat futtató számítógépeken. A sebezhetőség elvileg akár távolról, egy speciális weboldal meglátogatásakor is előjöhez, ezért érdemes mihamarabb frissíteni.

Az iDefense ezen kívül jelentette, hogy a Java Web Start 5-ös és 6-os verzióit is érinti két (+ közben még két), szintén távolról kihasználható sebezhetőség:

  • a JWS betöltődésekor megjelenő Java logo speciális GIF vagy PNG fájlra történő kicserélésével heap korrupció érhető el, ami rosszindualú kódok lefutásához vezethet.
  • A fentihez hasonló GIF feldolgozási probléma érinti a 6-os JRE-t is.
  • és egy integer túlcsordulás is van még a távoli betűkészletek betöltésénél.

Ezekre a Sun válasza és a patchek itt találhatók.

 

Címkék: java patch sun

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.