L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de JRE, JDK, SDK : modification de fichier via Java Web Start

Synthèse de la vulnérabilité 

Une application Java peut altérer un fichier avec les droits de la victime.
Systèmes impactés : Java Oracle.
Gravité de cette alerte : 2/4.
Date de création : 29/06/2007.
Date de révision : 03/07/2007.
Références de cette alerte : 102881, 102957, 102958, 6461918, 6490790, 6499357, BID-24695, CVE-2007-3504, VIGILANCE-VUL-6959.

Description de la vulnérabilité 

Les applications Java Web Start ou les applets sont exécutées dans un environnement protégé, et ne peuvent normalement pas accéder aux ressources du système.

Le service PersistenceService stocke des informations sur le système du client. Chaque information est associée à une url. Cependant, sous Windows, PersistenceService ne vérifie pas si l'url indique de sortir de la sandbox. Une applet peut ainsi employer PersistenceService pour sortir de la sandbox et modifier un fichier avec les droits de l'utilisateur.

Une applet illicite peut donc modifier le fichier .java.policy, afin de désactiver les restrictions, et de permettre l'exécution d'applications avec les droits de la victime.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette vulnérabilité informatique concerne les logiciels ou systèmes comme Java Oracle.

Notre équipe Vigil@nce a déterminé que la gravité de cette annonce cybersécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce de menace.

Solutions pour cette menace 

Java SDK/JRE : version 1.4.2_14.
La version 1.4.2_14 est corrigée :
  http://java.sun.com/j2se/1.4.2/download.html
Il est recommandé de désinstaller les versions précédentes :
  http://java.com/en/download/help/uninstall_java.xml

JDK, JRE : version 5.0 Update 12.
La version 5.0 Update 12 est corrigée :
  http://java.sun.com/javase/downloads/index_jdk5.jsp
Il faut ensuite regénérer tous les documents créés par JavaDoc.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une base de vulnérabilité de réseau. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.