|
Sun Java Web Start Überschreiben von beliebigen Dateien
|
|
|
|
|
Secunia Advisory:
|
SA25823
|
|
|
Herausgegeben:
|
2007-06-29
|
|
Last Update:
|
2007-07-10
|
|
|
Gefahrenstufe:
|
Sehr kritisch
|
|
Auswirkung:
|
Sicherheitsumgehung
Manipulation von Daten
|
|
Von Wo:
|
Aus dem Internet
|
|
Lösungsstatus:
|
Hersteller-Patch
|
|
| Software: | Java Web Start 1.x
Sun Java JDK 1.5.x
Sun Java JRE 1.4.x
Sun Java JRE 1.5.x / 5.x
Sun Java SDK 1.4.x
|
| | CVE reference: | CVE-2007-3504 (Secunia mirror)
|
|
|
Want to know the next time vulnerabilities are fixed in this product?
- Companies can be alerted via email and SMS! |
|
|
Beschreibung:
Eine Sicherheitslücke in Sun Java Web Start wurde gemeldet, die böswillige Personen ausnutzen können, um bestimmte Sicherheitsrestriktionen zu umgehen.
Die Sicherheitslücke besteht in einem unspezifizierten Fehler in Java Web Start und kann von einer nicht-vertrauenswürdigen Anwendung ausgenutzt werden, um sich selbst Rechte zu erteilen, beliebige Dateien mit den Rechten des Anwenders zu überschreiben. Dies kann weiterhin ausgenutzt werden, um die Datei ".java.policy" des Bentzers zu überschreiben, was der Anwendung ermöglicht Applets oder Java Web-Start-Anwendungen zu starten.
Die Sicherheitslücke betrifft Java Web Start in JDK und JRE 5.0 Update 11 und früher und Java Web Start in SDK und JRE 1.4.2_13 und früher für die Windows Plattform.
Do you have this product installed on your home computer? Scan using the free Personal Software Inspector. Check if a vulnerable version is installed on computers in your corporate network, using the Network Software Inspector.
Lösung:
Verwenden Sie die Updates.
Java Web Start in JDK und JRE 5.0 Update 12 oder höher
http://java.sun.com/j2se/1.5.0/download.jsp
Java Web Start in SDK und JRE 1.4.2_14 oder höher.
http://java.sun.com/j2se/1.4.2/download.html
Gemeldet und/oder entdeckt von:
Der Hersteller nennt John Heasman, NGSSoftware.
Änderungen:
2007-07-04: CVE-Referenz hinzugefügt.
2007-07-10: Weiteren Link hinzugefügt.
Original Advisory:
Sun:
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102957-1
NGSSoftware:
http://www.ngssoftware.com/advisories/high-risk-vulnerability-in-java-web-start/
Erweiterte Lösung:
The "Erweiterte Lösung" section is available for Secunia customers only. Request a trial and get access to the Secunia Customer Area and Extended Secunia advisories.
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
42 Related Secunia Security Advisories, displaying 10
|
|
|
1. Sun Java JDK / JRE Mehrere Sicherheitslücken
|
|
2. Sun JRE Applet-Verwaltung Zwei Sicherheitslücken
|
|
3. Sun JRE Applet-Verwaltung Sicherheitslücke
|
|
4. Sun Java JRE mehrere Sicherheitslücken
|
|
5. Sun JRE Verarbeitung von Schriften Sicherheitslücke
|
|
6. Java JRE/JDK JSSE DoS und Sicherheitsumgehung
|
|
7. Sun Java Web Start Verarbeitung von JNLP-Dateien Pufferüberlauf
|
|
8. Sun JDK JavaDoc Cross-Site-Scripting-Sicherheitslücke
|
|
9. Sun JDK und JRE ICC- und BMP-Parser Sicherheitslücken
|
|
10. Java 2 Platform Rechteerweiterung
|
Show all related advisories
|
|
|
Send Feedback to Secunia
|
|
If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.
Ideas, suggestions, and other feedback are most welcome.
|
|
|
|
