Deux vulnérabilités Java corrigées

Par Samuel Hassine le Lundi 24 Janvier 2005 à 19:18:34

Il y a quelques jours Sun corrigeait deux vulnérabilités critiques affectant ses plug-in Java. Elles permettaient entre autre l'exécution d'appliquettes ayant la possibilité d'installer un virus à l'insu d'un utilisateur. Le bulletin d'alerte affirme que les JDK et JRE 5.0 ne sont pas concernés par le problème.

La première faille permettait à une appliquette non certifiée de s'attribuer des droits de lecture-écriture sur des fichiers locaux. Les JDK et JRE 1.4.2, 1.4.1_06 et antérieurs, toutes les 1.4.0 et les éditions 1.3.1_12 et antérieures pour Windows avec Internet Explorer sont concernés par ce défaut de sécurité.

La seconde vulnérabilité autorisait l'exécution de deux appliquettes simultanément sur une même page web permettant ainsi à l'une d'interférer avec l'autre. Ce problème pouvait avoir comme conséquence le chargement de ressources telles que d'autres pages Web ou des fichiers. Les SDK et JRE 1.4.2_05 et antérieurs, toutes les éditions 1.4.1 et 1.4.0, ainsi que les versions 1.3.1_12 et antérieures pour Windows, Solaris et Linux sont concernés par cette faille.

Sun conseille de désactiver les javascripts en attendant la mise à niveau du système.