安全研究

安全漏洞
Sun Java Plugin任意包访问漏洞

发布日期:2004-11-22
更新日期:2004-11-25

受影响系统:
Sun Java Standard Edition 1.4.2_04
Sun Java Standard Edition 1.4.2_01
不受影响系统:
Sun Java Standard Edition 1.4.2_06
描述:
CVE(CAN) ID: CVE-2004-1029

Java Plug-in技术是Java 2实时环境的一部分,Sun的Java Runtime Environment (JRE)为JAVA应用程序提供可靠的运行环境。

Java Plug-in技术设计存在问题,远程攻击者可以利用这个漏洞绕过Java'沙盒'和所有限制访问受限资源和系统。

Java虚拟机中包含多个私有Java包并被内部调用,默认安全机制限制Applet访问这些包,任何企图访问这些包,会导致'AccessControlException'的异常,除非这个Applet被签名并被用户信任。

问题存在于使用Sun java插件技术的WEB浏览器,针对Javascript数据交换对Java的访问控制缺少正确的限制,漏洞允许Javascript代码装载不安全的类。成功利用此漏洞允许攻击者执行恶意类,目标用户被执行恶意类后,可能导致恶意类在系统上执行访问,下载上传执行任意文件等操作。

<*来源:Jouko Pynnonen (jouko@iki.fi
  
  链接:http://www.idefense.com/application/poi/display?id=158&type=vulnerabilities&flashstatus=true
*>

建议:
厂商补丁:

Sun
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载如下J2SE v 1.4.2_06程序:

http://java.sun.com/j2se/1.4.2/download.html

浏览次数:4180
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障