S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 07 août 2007
N° CERTA-2007-AVI-349
Affaire suivie par: CERT-FR
le 07 août 2007

Avis du CERT-FR

Objet: Vulnérabilité dans la machine virtuelle Java de Sun

Gestion du document

Référence CERTA-2007-AVI-349
Titre Vulnérabilité dans la machine virtuelle Java de Sun
Date de la première version 07 août 2007
Date de la dernière version 07 août 2007
Source(s) Bulletin de sécurité de Sun 102995 du 18 juillet 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité.

Systèmes affectés

  • JDK et JRE 6 Update 1;
  • JDK et JRE 5.0 Update 11;
  • SDK et JRE 1.4.2_12.

Ainsi que les versions antérieures de ces différentes distributions.

Résumé

Une vulnérabilité dans le chargeur d'applet du Java Runtime Environment permet de contourner la politique de sécurité liée à l'exécution d'une applet.

Description

Une vulnérabilité dans le chargeur d'applet du Java Runtime Environment permet à une applet chargée depuis un site distant et qui s'exécute localement d'accéder aux services présents sur la machine sans respecter la politique de sécurité du réseau. Cela permettrait par exemple d'exploiter les vulnérabilités potentielles des services présents sur la machine alors qu'ils ne sont normalement pas accessibles.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 07 août 2007
    version initiale.