Bien que dans un billet publié sur son blog consacré à la sécurité, Sun n’a pas indiqué le niveau de dangerosité des failles identifiées et corrigées par ses soins, la société danoise Secunia a fait un prix de gros en qualifiant le lot de hautement critique, soit le rang 4 d’une échelle d’alerte en comportant 5. Des mises à jour s’imposent donc.

Ces vulnérabilités multiples affectant les utilisateurs Windows, Solaris et Linux peuvent être exploiter par des attaquants pour contourner certaines mesures de sécurité, manipuler des données, obtenir des informations sensibles ou potentiellement compromettre un système vulnérable car non mis à jour, indique Secunia qui a surtout stigmatisé trois problèmes.

Le premier problème résulte de plusieurs erreurs non spécifiées dans Java Runtime Environment ( JRE ) pouvant être exploitées par une applet en provenance d’un site malicieux ou en utilisant les API Java afin d’établir des connexions réseaux vers des services sur des machines autres que l’hôte originel.

Le deuxième problème est relatif à plusieurs erreurs non spécifiées dans Java Web Start ( JWS ) qui peuvent être exploitées par une applet malicieuse pour déterminer le chemin vers le cache JWS et accéder en lecture et écriture à des fichiers locaux.

Enfin, le troisième problème résulte d’une erreur inconnue dans JRE pouvant être exploitée pour déplacer ou copier de façon arbitraire des fichiers en incitant l’utilisateur à glisser et déposer un fichier depuis une applet vers une application locale.

Les vulnérabilités ont été rapportées dans :

JDK ( JRE + outils de développement) et JRE version 6 Update 2 et inférieuresJDK et JRE version 5.0 Update 12 et inférieuresJDK et JRE version 1.4.2_15 et inférieuresJDK et JRE version 1.3.1_20 et inférieuresLes versions corrigées sont disponibles à ces adresses :

JDK et JRE 6 Update 3 JDK et JRE 5.0 Update 13[SDK et JRE 1.4.2_16 | http://java.sun.com/j2se/1.4.2/download.html]SDK et JRE 1.3.1_21