Buscar
 
 

Resultados por:
 


Rechercher Búsqueda avanzada

Últimos temas
» En casa de Belén, de vacaciones
Dom Abr 03, 2011 2:48 am por Invitado

» CONTINUIDAD
Lun Sep 14, 2009 8:28 pm por alfonso

» Boletín diario de Seguridad de INTECO-CERT
Jue Ago 20, 2009 3:52 pm por son5minutos

» Vulnerabilidad crítica en Flash Player
Dom Jul 26, 2009 2:13 pm por son5minutos

» Adobe conocía su último "0 day" desde 2008
Dom Jul 26, 2009 2:12 pm por son5minutos

» Último Informe del CERT para PYMES y Ciudadanos de Inteco
Dom Jul 26, 2009 2:11 pm por son5minutos

» STILO
Dom Jun 28, 2009 2:45 pm por nenina

» CINE
Dom Jun 28, 2009 2:44 pm por nenina

» VIAJAR
Dom Jun 28, 2009 2:44 pm por nenina

» EMPLEO Y FORMACION
Dom Jun 28, 2009 2:43 pm por nenina

» MOVILES
Dom Jun 28, 2009 2:42 pm por nenina

» VIDEOJUEGOS
Dom Jun 28, 2009 2:41 pm por nenina

» SEGURIDAD
Dom Jun 28, 2009 2:40 pm por nenina

» EMPRENDE
Dom Jun 28, 2009 2:40 pm por nenina

» NOTICIASDOT PRO
Dom Jun 28, 2009 2:39 pm por nenina

» SOFTWARE LIBRE
Dom Jun 28, 2009 2:39 pm por nenina

» GADGETMANIA
Dom Jun 28, 2009 2:37 pm por nenina

» WEB 2.0
Dom Jun 28, 2009 2:37 pm por nenina

» MUNDO DIGITAL
Dom Jun 28, 2009 2:36 pm por nenina

» Averigua quién está conectado a tu ordenador
Dom Jun 21, 2009 12:11 pm por Gaillimh

Flujo RSS


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 


Bookmarking social

Bookmarking social Digg  Bookmarking social Delicious  Bookmarking social Reddit  Bookmarking social Stumbleupon  Bookmarking social Slashdot  Bookmarking social Yahoo  Bookmarking social Google  Bookmarking social Blinklist  Bookmarking social Blogmarks  Bookmarking social Technorati  

Conserva y comparte la dirección de Foro en tu sitio de bookmarking social


Múltiples vulnerabilidades en Java Runtime Environment (JRE) y JDK de SUN

Ver el tema anterior Ver el tema siguiente Ir abajo

Múltiples vulnerabilidades en Java Runtime Environment (JRE) y JDK de SUN

Mensaje por Gaillimh el Vie Dic 05, 2008 2:10 pm

Hispasec - una-al-día 04/12/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------


Múltiples vulnerabilidades en Java Runtime Environment (JRE) y JDK de SUN
-------------------------------------------------------------------------

Se han publicado nuevas versiones de Sun Java Runtime Environment (JRE)
y Java Development Kit (JDK) que introducen mejoras y corrigen múltiples
fallos de seguridad, que podrían permitir a un atacante remoto saltarse
restricciones de seguridad, acceder a información sensible, efectuar una
denegación de servicio y potencialmente ejecutar código arbitrario en un
sistema vulnerable:

A continuación se detallan con brevedad las vulnerabilidades corregidas:

1- JRE crea archivos temporales con nombres teóricamente aleatorios que
en la práctica se pueden llegar a predecir. Esto podría ser aprovechado
por un atacante para hacer que archivos JAR maliciosos sean cargados
como applets confiables, lo que permitiría completar acciones
restringidas en el sistema afectado.

2- Se han descubierto múltiples desbordamientos de búfer en JRE al
procesar fuentes e imágenes GIF, lo que podría ser aprovechado por un
atacante remoto para ejecutar código arbitrario por medio de applets no
confiable o aplicaciones Java Web Start.

3- Múltiples problemas de seguridad en Java Web Start y Java Plug-in
podrían que podrían ser aprovechados por un atacante remoto para
saltarse restricciones de seguridad y escalar privilegios.

4- El mecanismo Java Update de JRE no comprueba la firma digital al
descargar una actualización. Esto podría ser aprovechado por un atacante
para suministrar una actualización falsa si consigue comprometer la
información DNS usada como comprobación.

5- Un desbordamiento de búfer en JRE podría permitir la escalada de
privilegios de una aplicación Java lanzada desde la línea de comandos.

6- Escalada de privilegios provocada por un fallo en JRE al realizar
ciertas operaciones con los objetos del calendario.

7- Un desbordamiento de búfer en la utilidad Unpack200 para
desempaquetar archivos JAR podría permitir una escalada de privilegios.

8- Un applet no confiable podría listar el contenido del directorio home
del usuario que lo esté ejecutando, lo que conlleva la revelación de
información sensible.

9- Denegación de servicio provocada por un fallo en JRE al manejar
ciertas claves públicas RSA.

10- Denegación de servicio en el sistema provocada por un fallo en JRE
al autenticar usuarios a través de Kerberos.

11- Escalada de privilegios que provocada por fallo en los paquetes
JAX-WS y JAXB que podría permitir el acceso a ciertas clases internas.

12- Acceso a direcciones arbitrarias de memoria permitidas debido a un
posible procesamiento erróneo de archivos zip.

13- Un fallo de seguridad podría permitir que código cargado desde el
sistema de archivos accediera a localhost (salto de restricciones de
seguridad).

Según la rama de JRE en uso, las nuevas versiones están disponibles
desde:

JDK y JRE 6 Update 11:
http://java.sun.com/javase/downloads/index.jsp

JDK y JRE 5.0 Update 17:
http://java.sun.com/javase/downloads/index_jdk5.jsp

SDK y JRE 1.4.2_19:
Se recomienda migración a versión superior ya que ha dejado de recibir
actualizaciones de seguridad.
http://java.sun.com/j2se/1.4.2/download.html

SDK y JRE 1.3.1_24:
Se recomienda migración a versión superior ya que ha dejado de recibir
actualizaciones de seguridad.
http://java.sun.com/j2se/1.3/download.html

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3694/comentar

Más información:

The Java Runtime Environment Creates Temporary Files That Have "Guessable" File Names
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244986-1

Java Runtime Environment (JRE) Buffer Overflow Vulnerabilities in
Processing Image Files and Fonts May Allow Applets or Java Web Start
Applications to Elevate Their Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244987-1

Multiple Security Vulnerabilities in Java Web Start and Java Plug-in May Allow Privilege Escalation
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244988-1

The Java Runtime Environment (JRE) "Java Update" Mechanism Does Not Check the Digital Signature of the JRE that it Downloads
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244989-1

A Buffer Overflow Vulnerability in the Java Runtime Environment (JRE) May Allow Privileges to be Escalated
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244990-1

A Security Vulnerability in the Java Runtime Environment (JRE) Related
to Deserializing Calendar Objects May Allow Privileges to be Escalated
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244991-1

A Buffer Overflow Vulnerability in the Java Runtime Environment (JRE)
"Unpack200" JAR Unpacking Utility May Lead to Escalation of Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244992-1

Security Vulnerability in Java Runtime Environment May Allow Applets to List the Contents of the Current User's Home Directory
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246266-1

Security Vulnerability in the Java Runtime Environment With Processing RSA Public Keys
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246286-1

A Security Vulnerability in Java Runtime Environment (JRE) With
Authenticating Users Through Kerberos May Lead to a Denial of Service
(DoS)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246346-1

Security Vulnerabilities in the Java Runtime Environment (JRE) JAX-WS and JAXB Packages may Allow Privileges to be Escalated
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246366-1

A Security Vulnerability in Java Runtime Environment (JRE) With Parsing
of Zip Files May Allow Reading of Arbitrary Memory Locations
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246386-1

A Security Vulnerability in the Java Runtime Environment may Allow Code Loaded From the Local Filesystem to Access LocalHost
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246387-1


Pablo Molina
pmolina@hispasec.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 52
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.