Sun Microsystems объявила об устранении ряда уязвимостей в Java Runtime Environment, Java SDK и Java JDK, позволяющих обходить ограничения безопасности и осуществлять несанкционированный доступ к файлам. Уязвимости обнаружены в Sun Java JDK 1.5.x, 1.6.x, Java Runtime Environment (JRE) 1.3.x, 1.4.x, 1.5.x / 5.x, 1.6.x / 6.x, SDK 1.3.x, 1.4.x. Некоторые из них, содержащиеся в Java API, позволяют скомпрометировать защиту пользовательской системы при помощи вредоносных Java-апплетов, встраиваемых в веб-страницы. В частности, злоумышленник может установить соединение со сторонним сервером для передачи конфиденциальных данных или данных о системе, которые могут быть использованы для последующих атак. Ограничения безопасности в Java-апплетах не разрешают соединяться с серверами, кроме как с тем, с которых загрузился апплет. Используя уязвимости в Java Web Start, атакующий может создать апплет, которому будут доступны на чтение и запись любые файлы в локальной системе, включая кэш Java Web Start. Подробности уязвимостей не раскрываются, поскольку о них сообщил разработчик вместе с выпуском патчей.
Подробности