Kaspersky Threats

Detekováno

?

04/24/2017

Míra zranitelnosti

?

Vysoká

Popis

V součástech Oracle Java SE bylo nalezeno několik vážných zranitelných míst. Škodlivé uživatele mohou tyto chyby zabezpečení zneužít, aby způsobily odmítnutí služby, čtení a zápis místních souborů a případné získání citlivých informací.

Níže je uveden kompletní seznam chyb zabezpečení:

Nespecifikovaná zranitelnost v subkomponentu Síťování může být vzdáleně využívána neověřeným útočníkem prostřednictvím více protokolů pro čtení a zápis (aktualizace, vložení, mazání) některých dostupných dat Java SE a Java SE Embedded;
Nespecifikovaná zranitelnost v subkomponentu AWT (abstraktní nástrojová sada Windows) může být vzdáleně využívána neověřeným útočníkem prostřednictvím více protokolů, případně k získání citlivých informací;
Nespecifikovaná chyba zabezpečení v podsoučásti JAXP (Java API pro zpracování XML) může být vzdáleně využívána neověřeným útočníkem prostřednictvím více protokolů, což může způsobit odmítnutí služby;
Nespecifikovaná zranitelnost v subkomponentu Networking může být vzdáleně využívána neověřeným útočníkem prostřednictvím protokolu FTP pro zápis (aktualizovat, vložit, smazat) některé z dostupných dat Java SE a Java SE Embedded;
Nespecifikovaná zranitelnost v subkomponentu Zabezpečení může být vzdáleně využívána neověřeným útočníkem prostřednictvím více protokolů pro zápis (aktualizace, vložení, odstranění) některých přístupných dat Java SE a Java SE Embedded;
Nespecifikovaná zranitelnost v subkomponentu Síťování může být vzdáleně využívána neověřeným útočníkem prostřednictvím protokolu SMTP k zápisu (aktualizace, vložení, odstranění) některých dostupných dat Java SE a Java SE Embedded.

Technické údaje

Všechny chyby zabezpečení se vztahují na nasazení v jazyce Java (obvykle v klientských aplikacích, které používají Java Applets nebo Sandboxed Jawa Web Start Applications a spoléhají na bezpečnost Java karantény), které používají nedůvěryhodný kód (například kód z Internetu). Zaváděcí kódy Java, které používají důvěryhodný kód (například kód nainstalovaný správcem), nejsou zranitelné.

Úspěšné zneužití všech zranitelných míst vyžadují interakci uživatelů (nikoliv stejná osoba jako neověřený útočník).

Zranitelnosti (1), (5) souvisejí s komponentami Java SE, Java SE Embedded.

Zranitelnosti (3), (4), (6) souvisejí s komponentami Java SE, Java SE Embedded a JRockit.

Chyba zabezpečení (2) se týká pouze Java SE.

Zasažené produkty

Oracle Java SE 6u141
Oracle Java SE 7u131
Oracle Java SE 8u121
Oracle Java SE Embedded 8u121
Oracle JRockit R28.3.13

Řešení

Aktualizace na nejnovější verzi
Získejte Java SE

Oficiální doporučení

Oracle Critical Patch Update Advisory

Dopad

?

WLF

[?]

RLF

[?]

OSI

[?]

DoS

[?]

Související produkty

Oracle JRockit
Oracle Java JRE 1.8.x
Oracle Java JRE 1.7.x

CVE-IDS

?

CVE-2017-3544
CVE-2017-3539
CVE-2017-3533
CVE-2017-3526
CVE-2017-3514
CVE-2017-3509

Odkaz na originál

Detekováno ?	04/24/2017
Míra zranitelnosti ?	Vysoká
Popis	V součástech Oracle Java SE bylo nalezeno několik vážných zranitelných míst. Škodlivé uživatele mohou tyto chyby zabezpečení zneužít, aby způsobily odmítnutí služby, čtení a zápis místních souborů a případné získání citlivých informací. Níže je uveden kompletní seznam chyb zabezpečení: Nespecifikovaná zranitelnost v subkomponentu Síťování může být vzdáleně využívána neověřeným útočníkem prostřednictvím více protokolů pro čtení a zápis (aktualizace, vložení, mazání) některých dostupných dat Java SE a Java SE Embedded; Nespecifikovaná zranitelnost v subkomponentu AWT (abstraktní nástrojová sada Windows) může být vzdáleně využívána neověřeným útočníkem prostřednictvím více protokolů, případně k získání citlivých informací; Nespecifikovaná chyba zabezpečení v podsoučásti JAXP (Java API pro zpracování XML) může být vzdáleně využívána neověřeným útočníkem prostřednictvím více protokolů, což může způsobit odmítnutí služby; Nespecifikovaná zranitelnost v subkomponentu Networking může být vzdáleně využívána neověřeným útočníkem prostřednictvím protokolu FTP pro zápis (aktualizovat, vložit, smazat) některé z dostupných dat Java SE a Java SE Embedded; Nespecifikovaná zranitelnost v subkomponentu Zabezpečení může být vzdáleně využívána neověřeným útočníkem prostřednictvím více protokolů pro zápis (aktualizace, vložení, odstranění) některých přístupných dat Java SE a Java SE Embedded; Nespecifikovaná zranitelnost v subkomponentu Síťování může být vzdáleně využívána neověřeným útočníkem prostřednictvím protokolu SMTP k zápisu (aktualizace, vložení, odstranění) některých dostupných dat Java SE a Java SE Embedded. Technické údaje Všechny chyby zabezpečení se vztahují na nasazení v jazyce Java (obvykle v klientských aplikacích, které používají Java Applets nebo Sandboxed Jawa Web Start Applications a spoléhají na bezpečnost Java karantény), které používají nedůvěryhodný kód (například kód z Internetu). Zaváděcí kódy Java, které používají důvěryhodný kód (například kód nainstalovaný správcem), nejsou zranitelné. Úspěšné zneužití všech zranitelných míst vyžadují interakci uživatelů (nikoliv stejná osoba jako neověřený útočník). Zranitelnosti (1), (5) souvisejí s komponentami Java SE, Java SE Embedded. Zranitelnosti (3), (4), (6) souvisejí s komponentami Java SE, Java SE Embedded a JRockit. Chyba zabezpečení (2) se týká pouze Java SE.
Zasažené produkty	Oracle Java SE 6u141 Oracle Java SE 7u131 Oracle Java SE 8u121 Oracle Java SE Embedded 8u121 Oracle JRockit R28.3.13
Řešení	Aktualizace na nejnovější verzi Získejte Java SE
Oficiální doporučení	Oracle Critical Patch Update Advisory
Dopad ?	WLF [?] RLF [?] OSI [?] DoS [?]
Související produkty	Oracle JRockit Oracle Java JRE 1.8.x Oracle Java JRE 1.7.x
CVE-IDS ?	CVE-2017-3544 CVE-2017-3539 CVE-2017-3533 CVE-2017-3526 CVE-2017-3514 CVE-2017-3509
	Odkaz na originál