发布日期：2004-11-22
更新日期：2004-11-25

受影响系统：

Sun Java Standard Edition 1.4.2_04
Sun Java Standard Edition 1.4.2_01

不受影响系统：

Sun Java Standard Edition 1.4.2_06

描述：

---

CVE(CAN) ID: CVE-2004-1029

Java Plug-in技术是Java 2实时环境的一部分，Sun的Java Runtime Environment (JRE)为JAVA应用程序提供可靠的运行环境。

Java Plug-in技术设计存在问题，远程攻击者可以利用这个漏洞绕过Java'沙盒'和所有限制访问受限资源和系统。

Java虚拟机中包含多个私有Java包并被内部调用，默认安全机制限制Applet访问这些包，任何企图访问这些包，会导致'AccessControlException'的异常，除非这个Applet被签名并被用户信任。

问题存在于使用Sun java插件技术的WEB浏览器，针对Javascript数据交换对Java的访问控制缺少正确的限制，漏洞允许Javascript代码装载不安全的类。成功利用此漏洞允许攻击者执行恶意类，目标用户被执行恶意类后，可能导致恶意类在系统上执行访问，下载上传执行任意文件等操作。

<*来源：Jouko Pynnonen （jouko@iki.fi）
  
  链接：http://www.idefense.com/application/poi/display?id=158&type=vulnerabilities&flashstatus=true
*>

建议：

---

厂商补丁：

Sun
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载如下J2SE v 1.4.2_06程序：

http://java.sun.com/j2se/1.4.2/download.html

浏览次数：4154
严重程度：0（网友投票）