Un avis de sécurité du CERTA nous informe de la présence de vulnérabilité dans la machine virtuelle Oracle Java, ainsi nommée depuis le rachat de Sun Microsystems par Oracle.

Descriptions des vulnérabilités:

• une erreur dans le code de la classe HeadspaceSoundbank peut provoquer un débordement de mémoire par le biais d'un fichier Soundbank spécialement conçu ;
• une erreur dans le traitement des images peut provoquer un débordement de mémoire par le biais d'une applet Java spécialement conçue ;
• plusieurs autres vulnérabilités non précisées sont présentes dans les composants Oracle Java.

Le tout pouvant aboutir une exécution de code arbitraire à distance, un déni de service à distance, un contournement de la politique de sécurité ou une atteinte à la confidentialité des données.

Les JVM impactées sont:

• Java SE, JDK/JRE 6 Update 18 et antérieures pour Windows, Solaris, et Linux ;
• Java SE, JDK 5.0 Update 23 et antérieures pour Solaris ;
• Java SE, SDK 1.4.2_25 et antérieures pour Solaris ;
• Java for Business, JDK/JRE 6 Update 18 et antérieures pour Windows, Solaris, et Linux ;
• Java for Business, JDK/JRE 5.0 Update 23 et antérieures pour Windows, Solaris, et Linux ;
• Java for Business, SDK/JRE 1.4.2_25 et antérieures pour Windows, Solaris, et Linux.

Oracle a confirmé et publié des mises à jour de sécurité à cette adresse.

Source :  CERTA