Des vulnérabilités découvertes dans Java

Déjà patchées par Oracle

Des vulnérabiltés découvertes dans Java, déjà patchées par Oracle

Le CERTA (Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques) vient d'émettre un avis de sécurité révelant la présence de vulnérabilités dans la machine virtuelle Oracle Java (appelée ainsi depuis le récent rachat de Sun Microsystems par Oracle).

D'après le document officiel de l'alerte, les vulnérabilités sont :

- Une erreur dans le code de la classe HeadspaceSoundbank peut provoquer un débordement de mémoire par le biais d'un fichier Soundbank spécialement conçu ;
- Une erreur dans le traitement des images peut provoquer un débordement de mémoire par le biais d'une applet Java spécialement conçue ;
- Plusieurs autres vulnérabilités non précisées sont présentes dans les composants Oracle Java.

Ces failles pourraient permettre l'exécution à distance d'un code malveillant ou bien ouvrir une porte à une attaque par déni de service. Les données confidentielles ne sont donc plus protégées de manière optimale.

Les JVM impactées sont:
- Java SE, JDK/JRE 6 Update 18 et antérieures pour Windows, Solaris, et Linux ;
- Java SE, JDK 5.0 Update 23 et antérieures pour Solaris ;
- Java SE, SDK 1.4.2_25 et antérieures pour Solaris ;
- Java for Business, JDK/JRE 6 Update 18 et antérieures pour Windows, Solaris, et Linux ;
- Java for Business, JDK/JRE 5.0 Update 23 et antérieures pour Windows, Solaris, et Linux ;
- Java for Business, SDK/JRE 1.4.2_25 et antérieures pour Windows, Solaris, et Linux.

Ces informations ont été confirmées par Oracle qui propose des mises à jour de sécurité à cette adresse.

Source : L'alerte du CERTA