Description
Plusieurs vulnérabilités sérieuses ont été trouvées dans les composants Oracle Java SE. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités éventuellement pour obtenir des informations sensibles.
Voici une liste complète des vulnérabilités:
- Une vulnérabilité non spécifiée dans le sous-composant JCE (Java Cryptography Extension) peut être exploitée à distance par un attaquant non authentifié en se connectant à l'infrastructure pour éventuellement obtenir des informations sensibles;
- Une vulnérabilité non spécifiée dans le sous-composant AWT (Abstract Windows Toolkit) peut être exploitée à distance par un attaquant non authentifié via plusieurs protocoles, éventuellement pour obtenir des informations sensibles.
Détails techniques
Toutes les vulnérabilités sont applicables aux déploiements Java (généralement sur les clients qui exécutent des applets Java en sandbox ou des applications Jawa Web Start en sandbox et s'appuient sur la sécurité sandbox Java) qui utilisent du code non fiable (par exemple, du code Internet). Les déploiements Java exécutant du code approuvé (par exemple, du code installé par un administrateur) ne sont pas vulnérables.
Les exploits réussis de toutes les vulnérabilités nécessitent une interaction de l'utilisateur (avec pas la même personne que l'attaquant non authentifié).
Vulnérabilité (1) est liée aux composants Java SE, Java SE Embedded et JRockit.
Vulnérabilité (2) est liée uniquement à Java SE.
Fiches de renseignement originales
Liste CVE
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com