Sun Java JDK / JRE 多個漏洞
風險: 中度風險
在 Sun Java 發現多個漏洞,惡意的人可利用漏洞繞過某些保安限制、盜取系統資料或敏感資料、 進行阻斷服務攻擊或危及受影響的系統。
1. Java Runtime Environment 虛擬機器中存在錯誤,惡意或不明的 applet 可利用漏洞讀取及寫入本機檔案和執行本機應用程式。
2. Java Management Extensions (JMX) management agent 中存在錯誤, 在系統執行開啟了 local monitoring 選項的 JMX 時,使用 JMX 客戶端可利用漏洞在系統上執行某些未經授權的操作。
3. Java Runtime Environment 中的腳本程式語言支援存在兩個錯誤,惡意或不明的 applet 可利用漏洞透過另一個 applet 存取資料、讀取及寫入本機檔案和執行本機應用程式。
4. Java Web Start 中存在邊界檢查錯誤,不明的 Java Web Start 應用程式可利用漏洞進行緩衝區滿溢攻擊。
5. Java Web Start 中存在三個錯誤,不明的 Java Web Start 應用程式可利用漏洞, 以執行應用程式的使用者身份建立或刪除任意檔案,或決定 Java Web Start 快取記憶的位置。
6. 執行 Secure Static Versioning 時出現錯誤, 允許 applets 在舊版本的 JRE 上執行。
7. Java Runtime Environment 中存在多個錯誤,不明的 applet 可利用漏洞繞過相同來源的政策及在本機運行中的某些服務上建立插口連線。
8. 由於處理某些 XML 資料時, Java Runtime Environment 中存在錯誤, 可允許未經授權存取某些 URL 資源或進行阻斷服務攻擊。
攻擊者需要利用 JAX-WS 客戶端或可信的應用程式處理惡意的 XML 資料,才能成功利用此漏洞。
9. 由於處理某些 XML 資料時, Java Runtime Environment 中存在錯誤, 可允許不明的 applet 或應用程式獲得未經授權存取某些 URL 資源。
10. 由於在 Java Runtime Environment 處理字型時,存在邊界檢查錯誤,攻擊者可利用此漏洞進行緩衝區滿溢攻擊。
影響
- 阻斷服務
- 遠端執行程式碼
- 繞過保安限制
受影響之系統或技術
- Java Web Start 1.x 版本
- Java Web Start 5.x 版本
- Java Web Start 6.x 版本
- Sun Java JDK 1.5.x 版本
- Sun Java JDK 1.6.x 版本
- Sun Java JRE 1.3.x 版本
- Sun Java JRE 1.4.x 版本
- Sun Java JRE 1.5.x/5.x 版本
- Sun Java JRE 1.6.x/6.x 版本
- Sun Java SDK 1.3.x 版本
- Sun Java SDK 1.4.x 版本
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- JDK 及 JRE 6 Update 7:
http://java.sun.com/javase/downloads/index.jsp - JDK 及 JRE 6 Update 16:
http://java.sun.com/javase/downloads/index_jdk5.jsp - SDK and JRE 1.4.2_18:
http://java.sun.com/j2se/1.4.2/download.html - SDK and JRE 1.3.1_23 (適用於具 Solaris 8 及 Vintage Support Offering 支援合約的客戶):
http://java.sun.com/j2se/1.4.2/download.html
漏洞識別碼
- CVE-2008-3103
- CVE-2008-3104
- CVE-2008-3105
- CVE-2008-3106
- CVE-2008-3107
- CVE-2008-3108
- CVE-2008-3109
- CVE-2008-3110
- CVE-2008-3111
- CVE-2008-3112
- CVE-2008-3113
- CVE-2008-3114
- CVE-2008-3115
資料來源
相關連結
分享至