L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Obtention d'informations par une applet Java avec XSLT, XML sniffing

Synthèse de la vulnérabilité 

Lorsqu'une applet Java emploie le moteur XSLT, une autre applet peut accéder à ses données.
Logiciels vulnérables : HP-UX, Java Oracle.
Gravité de cette annonce : 1/4.
Date de création : 04/08/2004.
Dates de révisions : 10/08/2004, 13/10/2004, 14/10/2004.
Références de cette vulnérabilité informatique : BID-10844, CERTA-2004-AVI-264, HP01087, Sun Alert 57613, Sun Alert ID 57613, Sun BugID 4954066, Sun BugID 5020333, V6-JAVAXSLTAPPLETREAD, VIGILANCE-VUL-4309.

Description de la vulnérabilité 

Le JRE (Java Runtime Environment) comprend un moteur XSLT (Extensible Stylesheet Language Transformations).

Un moteur XSLT transforme un document XML en un autre document XML. Pour produire un nouvel arbre XML, il utilise :
 - un arbre XML source, et
 - une feuille de style indiquant comment traiter/convertir chaque type d'élément.

Cependant, lors de cette opération, une autre applet peut accéder aux données de l'arbre XML.

Cette vulnérabilité permet ainsi à un applet d'accéder aux données sensibles d'une autre applet, qui sont en cours de traitement par le moteur XSLT.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette menace informatique concerne les logiciels ou systèmes comme HP-UX, Java Oracle.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte de menace informatique est faible.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de shell utilisateur.

Un attaquant avec un niveau de compétence expert peut exploiter ce bulletin de menace informatique.

Solutions pour cette menace 

Solution générique.
La version 1.4.2_05 est corrigée.

Solution pour HP-UX.
La version 1.4.2.04 ou postérieure (T1456AA (JDK 1.4), T1457AA (JRE 1.4)) est corrigée :
  http://www.hp.com/go/java
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des annonces de vulnérabilités informatiques. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.