发布日期：2002-11-21
更新日期：2002-11-28

受影响系统：

Symantec Java! JustInTime Compiler 210.65

描述：

---

BUGTRAQ  ID: 6222

Netscape Communicator/Navigator的JVM实现使用了Symantec Just In Time(JIT)编译器，Java虚拟机在共享动态实现，并默认被Netscape Browser使用。

Netscape Communicator使用的Java! JustInTime编译器对部分特殊Java字节码处理不正确，远程攻击者可以利用这个漏洞构建恶意Java Applet，诱使用户打开，在目标用户JVM环境中以用户权限在系统上执行任意指令。

Java! JustInTime编译器在从特殊构建的Java字节码中生成Intel指令时存在问题，一个恶意构建的applet如果有此编译器编译的情况下，可能导致重定向程序到攻击者控制的内容中，从而使用户提供的指令绕过Java Sandbox检查以当前JVM进程权限在系统上执行任意指令。

<*来源：LSD （contact@lsd-pl.net）
  
  链接：http://www.lsd-pl.net/documents/javasecurity-1.0.0.pdf
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 从Netscape安装目录中删除相关库来关闭JIT编译器操作。

厂商补丁：

Symantec
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.symantec.com/

浏览次数：2755
严重程度：0（网友投票）