Solaris系统JRE字体解析远程权限提升漏洞

新客网 XKER.COM 2007-09-20 来源：绿盟科技收藏本文

发布日期：2007-08-15

更新日期：2007-08-30

受影响系统：

Sun JDK <= 5.0 Update 9

Sun JDK 5.0 Update 10

Sun JRE <= 5.0 Update 9

Sun JRE 1.4.2_14

不受影响系统：

Sun JRE 5.0 Update 10

Sun JRE 1.4.2_15

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 25340

CVE(CAN) ID: CVE-2007-4381

Solaris系统的Java运行时环境（JRE）为JAVA应用程序提供可靠的运行环境。

JRE字体解析代码中存在漏洞，可能允许不可信任的Applet提升权限。

例如，Applet可能给予其本身读写本地文件或执行运行不可信任Applet用户可访问本地应用程序的权限。

<*来源：John Heasman （nisr@nextgenss.com）

链接：http://secunia.com/advisories/26631/

http://dev2dev.bea.com/pub/advisory/248

http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-103024-1

建议：

--------------------------------------------------------------------------------

厂商补丁：

Sun

---

Sun已经为此发布了一个安全公告（Sun-Alert-103024）以及相应补丁:

Sun-Alert-103024：Vulnerability in the Java Runtime Environment Font Parsing Code may Allow an Untrusted Applet to Elevate

Privileges

链接：http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-103024-1

补丁下载：

http://java.sun.com/j2se/1.5.0/download.jsp

http://java.sun.com/j2se/1.4.2/download.html(责任编辑：李磊)

【收藏】【评论】【推荐】【投稿】【打印】【关闭】