Objet: Multiples vulnérabilités dans Oracle Java

Risque

• Exécution de code arbitraire à distance ;
• déni de service à distance ;
• contournement de la politique de sécurité ;
• atteinte à la confidentialité des données.

Systèmes affectés

• Java SE, JDK/JRE 6 Update 18 et antérieures pour Windows, Solaris, et Linux ;
• Java SE, JDK 5.0 Update 23 et antérieures pour Solaris ;
• Java SE, SDK 1.4.2_25 et antérieures pour Solaris ;
• Java for Business, JDK/JRE 6 Update 18 et antérieures pour Windows, Solaris, et Linux ;
• Java for Business, JDK/JRE 5.0 Update 23 et antérieures pour Windows, Solaris, et Linux ;
• Java for Business, SDK/JRE 1.4.2_25 et antérieures pour Windows, Solaris, et Linux.

Résumé

Plusieurs vulnérabilités découvertes dans Oracle Java peuvent être exploitées par un utilisateur malintentionné afin de compromettre le système ou d'entraver son bon fonctionnement.

Description

De multiples vulnérabilités ont été découvertes dans Oracle Java :

• une erreur dans le code de la classe HeadspaceSoundbank peut provoquer un débordement de mémoire par le biais d'un fichier Soundbank spécialement conçu ;
• une erreur dans le traitement des images peut provoquer un débordement de mémoire par le biais d'une applet Java spécialement conçue ;
• plusieurs autres vulnérabilités non précisées sont présentes dans les composants Oracle Java.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Oracle Java de mars 2010 :

  http://www.oracle.com/technology/deploy/security/critical-patch-updates/javacpumar2010.html
  

• Référence CVE CVE-2009-3335 :

  https://www.cve.org/CVERecord?id=CVE-2009-3335
  

• Référence CVE CVE-2010-0082 :

  https://www.cve.org/CVERecord?id=CVE-2010-0082
  

• Référence CVE CVE-2010-0084 :

  https://www.cve.org/CVERecord?id=CVE-2010-0084
  

• Référence CVE CVE-2010-0085 :

  https://www.cve.org/CVERecord?id=CVE-2010-0085
  

• Référence CVE CVE-2010-0087 :

  https://www.cve.org/CVERecord?id=CVE-2010-0087
  

• Référence CVE CVE-2010-0088 :

  https://www.cve.org/CVERecord?id=CVE-2010-0088
  

• Référence CVE CVE-2010-0089 :

  https://www.cve.org/CVERecord?id=CVE-2010-0089
  

• Référence CVE CVE-2010-0090 :

  https://www.cve.org/CVERecord?id=CVE-2010-0090
  

• Référence CVE CVE-2010-0091 :

  https://www.cve.org/CVERecord?id=CVE-2010-0091
  

• Référence CVE CVE-2010-0092 :

  https://www.cve.org/CVERecord?id=CVE-2010-0092
  

• Référence CVE CVE-2010-0093 :

  https://www.cve.org/CVERecord?id=CVE-2010-0093
  

• Référence CVE CVE-2010-0094 :

  https://www.cve.org/CVERecord?id=CVE-2010-0094
  

• Référence CVE CVE-2010-0095 :

  https://www.cve.org/CVERecord?id=CVE-2010-0095
  

• Référence CVE CVE-2010-0837 :

  https://www.cve.org/CVERecord?id=CVE-2010-0837
  

• Référence CVE CVE-2010-0838 :

  https://www.cve.org/CVERecord?id=CVE-2010-0838
  

• Référence CVE CVE-2010-0839 :

  https://www.cve.org/CVERecord?id=CVE-2010-0839
  

• Référence CVE CVE-2010-0840 :

  https://www.cve.org/CVERecord?id=CVE-2010-0840
  

• Référence CVE CVE-2010-0841 :

  https://www.cve.org/CVERecord?id=CVE-2010-0841
  

• Référence CVE CVE-2010-0842 :

  https://www.cve.org/CVERecord?id=CVE-2010-0842
  

• Référence CVE CVE-2010-0843 :

  https://www.cve.org/CVERecord?id=CVE-2010-0843
  

• Référence CVE CVE-2010-0844 :

  https://www.cve.org/CVERecord?id=CVE-2010-0844
  

• Référence CVE CVE-2010-0845 :

  https://www.cve.org/CVERecord?id=CVE-2010-0845
  

• Référence CVE CVE-2010-0846 :

  https://www.cve.org/CVERecord?id=CVE-2010-0846
  

• Référence CVE CVE-2010-0847 :

  https://www.cve.org/CVERecord?id=CVE-2010-0847
  

• Référence CVE CVE-2010-0848 :

  https://www.cve.org/CVERecord?id=CVE-2010-0848
  

• Référence CVE CVE-2010-0849 :

  https://www.cve.org/CVERecord?id=CVE-2010-0849
  

• Référence CVE CVE-2010-0850 :

  https://www.cve.org/CVERecord?id=CVE-2010-0850