Kaspersky Threats

Data de detecção

?

04/24/2017

Nível de gravidade

?

Alto

Descrição

Várias vulnerabilidades sérias foram encontradas nos componentes do Oracle Java SE. Usuários mal-intencionados podem explorar essas vulnerabilidades para causar uma negação de serviço, ler e gravar arquivos locais e possivelmente obter informações confidenciais.

Abaixo está uma lista completa de vulnerabilidades:

Uma vulnerabilidade não especificada no subcomponente Networking pode ser explorada remotamente por um invasor não autenticado por meio de vários protocolos para ler e gravar (atualizar, inserir, excluir) alguns dos dados acessíveis do Java SE e do Java SE Embedded;
Uma vulnerabilidade não especificada no subcomponente AWT (Abstract Windows toolkit) pode ser explorada remotamente por um invasor não autenticado por meio de vários protocolos, possivelmente para obter informações confidenciais;
Uma vulnerabilidade não especificada no subcomponente JAXP (Java API para XML Processing) pode ser explorada remotamente por um invasor não autenticado por meio de vários protocolos, possivelmente para causar uma negação de serviço;
Uma vulnerabilidade não especificada no subcomponente Rede pode ser explorada remotamente por um invasor não autenticado via FTP para gravar (atualizar, inserir, excluir) alguns dos dados acessíveis do Java SE e do Java SE Embedded;
Uma vulnerabilidade não especificada no subcomponente Segurança pode ser explorada remotamente por um invasor não autenticado por meio de vários protocolos para gravar (atualizar, inserir, excluir) alguns dos dados acessíveis do Java SE e Java SE Embedded;
Uma vulnerabilidade não especificada no subcomponente Rede pode ser explorada remotamente por um invasor não autenticado via SMTP para gravar (atualizar, inserir, excluir) alguns dos dados acessíveis do Java SE e Java SE Embedded.

Detalhes técnicos

Todas as vulnerabilidades são aplicáveis a implementações Java (geralmente em clientes, que executam Applets Java em área restrita ou Aplicativos Jawa Web Start em área restrita e contam com a segurança do sandbox Java) que usam código não confiável (por exemplo, código da Internet). Implantações Java que executam código confiável (por exemplo, código instalado por um administrador) não são vulneráveis.

As explorações bem-sucedidas de todas as vulnerabilidades exigem interação do usuário (não com a mesma pessoa que o invasor não autenticado).

Vulnerabilidades (1), (5) estão relacionadas aos componentes Java SE, Java SE Embedded.

Vulnerabilidades (3), (4), (6) estão relacionadas aos componentes Java SE, Java SE Embedded e JRockit.

Vulnerabilidade (2) está relacionada apenas ao Java SE.

Produtos afetados

Oracle Java SE 6u141
Oracle Java SE 7u131
Oracle Java SE 8u121
Oracle Java SE Embedded 8u121
Oracle JRockit R28.3.13

Solução

Atualize para a versão mais recente
Obtenha o Java SE

Comunicados originais

Oracle Critical Patch Update Advisory

Impactos

?

WLF

[?]

RLF

[?]

OSI

[?]

DoS

[?]

CVE-IDS

?

CVE-2017-3544
CVE-2017-3539
CVE-2017-3533
CVE-2017-3526
CVE-2017-3514
CVE-2017-3509

Link para o original

Data de detecção ?	04/24/2017
Nível de gravidade ?	Alto
Descrição	Várias vulnerabilidades sérias foram encontradas nos componentes do Oracle Java SE. Usuários mal-intencionados podem explorar essas vulnerabilidades para causar uma negação de serviço, ler e gravar arquivos locais e possivelmente obter informações confidenciais. Abaixo está uma lista completa de vulnerabilidades: Uma vulnerabilidade não especificada no subcomponente Networking pode ser explorada remotamente por um invasor não autenticado por meio de vários protocolos para ler e gravar (atualizar, inserir, excluir) alguns dos dados acessíveis do Java SE e do Java SE Embedded; Uma vulnerabilidade não especificada no subcomponente AWT (Abstract Windows toolkit) pode ser explorada remotamente por um invasor não autenticado por meio de vários protocolos, possivelmente para obter informações confidenciais; Uma vulnerabilidade não especificada no subcomponente JAXP (Java API para XML Processing) pode ser explorada remotamente por um invasor não autenticado por meio de vários protocolos, possivelmente para causar uma negação de serviço; Uma vulnerabilidade não especificada no subcomponente Rede pode ser explorada remotamente por um invasor não autenticado via FTP para gravar (atualizar, inserir, excluir) alguns dos dados acessíveis do Java SE e do Java SE Embedded; Uma vulnerabilidade não especificada no subcomponente Segurança pode ser explorada remotamente por um invasor não autenticado por meio de vários protocolos para gravar (atualizar, inserir, excluir) alguns dos dados acessíveis do Java SE e Java SE Embedded; Uma vulnerabilidade não especificada no subcomponente Rede pode ser explorada remotamente por um invasor não autenticado via SMTP para gravar (atualizar, inserir, excluir) alguns dos dados acessíveis do Java SE e Java SE Embedded. Detalhes técnicos Todas as vulnerabilidades são aplicáveis a implementações Java (geralmente em clientes, que executam Applets Java em área restrita ou Aplicativos Jawa Web Start em área restrita e contam com a segurança do sandbox Java) que usam código não confiável (por exemplo, código da Internet). Implantações Java que executam código confiável (por exemplo, código instalado por um administrador) não são vulneráveis. As explorações bem-sucedidas de todas as vulnerabilidades exigem interação do usuário (não com a mesma pessoa que o invasor não autenticado). Vulnerabilidades (1), (5) estão relacionadas aos componentes Java SE, Java SE Embedded. Vulnerabilidades (3), (4), (6) estão relacionadas aos componentes Java SE, Java SE Embedded e JRockit. Vulnerabilidade (2) está relacionada apenas ao Java SE.
Produtos afetados	Oracle Java SE 6u141 Oracle Java SE 7u131 Oracle Java SE 8u121 Oracle Java SE Embedded 8u121 Oracle JRockit R28.3.13
Solução	Atualize para a versão mais recente Obtenha o Java SE
Comunicados originais	Oracle Critical Patch Update Advisory
Impactos ?	WLF [?] RLF [?] OSI [?] DoS [?]
CVE-IDS ?	CVE-2017-3544 CVE-2017-3539 CVE-2017-3533 CVE-2017-3526 CVE-2017-3514 CVE-2017-3509
	Link para o original