安全研究
安全漏洞
Sun Java Plugin任意包访问漏洞
发布日期:2004-11-22
更新日期:2004-11-25
受影响系统:Sun Java Standard Edition 1.4.2_04
Sun Java Standard Edition 1.4.2_01
不受影响系统:Sun Java Standard Edition 1.4.2_06
描述:
CVE(CAN) ID:
CVE-2004-1029
Java Plug-in技术是Java 2实时环境的一部分,Sun的Java Runtime Environment (JRE)为JAVA应用程序提供可靠的运行环境。
Java Plug-in技术设计存在问题,远程攻击者可以利用这个漏洞绕过Java'沙盒'和所有限制访问受限资源和系统。
Java虚拟机中包含多个私有Java包并被内部调用,默认安全机制限制Applet访问这些包,任何企图访问这些包,会导致'AccessControlException'的异常,除非这个Applet被签名并被用户信任。
问题存在于使用Sun java插件技术的WEB浏览器,针对Javascript数据交换对Java的访问控制缺少正确的限制,漏洞允许Javascript代码装载不安全的类。成功利用此漏洞允许攻击者执行恶意类,目标用户被执行恶意类后,可能导致恶意类在系统上执行访问,下载上传执行任意文件等操作。
<*来源:Jouko Pynnonen (
jouko@iki.fi)
链接:
http://www.idefense.com/application/poi/display?id=158&type=vulnerabilities&flashstatus=true
*>
建议:
厂商补丁:
Sun
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载如下J2SE v 1.4.2_06程序:
http://java.sun.com/j2se/1.4.2/download.html浏览次数:4180
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |