Inhalte überspringen »
Security aktuell
Donnerstag, 15. April 2010 - aktualisierte Meldung
Schwachstelle im Java Deployment Toolkit (JDT) bzw. Java Web Start erlauben die Ausführung beliebigen Codes
Schwachstelle wird für Angriffe ausgenutzt
Systeme:
Multi, Unix/Sun Solaris, Linux, Windows
Programm:
Sun Java
Programmversion:
JDK/JRE 6 < Update 20
Programmlink:
Lösung:
Proof-of-Concepts für Windows wurden veröffentlicht, die Linux-Version ist sehr wahrscheinlich ebenfalls betroffen.
Als Workaround können das Java Deployment Toolkit (JDT) und Java Web Start deaktiviert werden.
Nachtrag 14.4.:
Die Schwachstelle wird bereits für Angriffe ausgenutzt.
Nachtrag 15.4.:
Es handelt sich um zwei Schwachstellen, beide wurden in Version 6 Update 20 behoben.
Nachtrag 16.4.:
Ein Metasploit-Modul wurde veröffentlicht.
Proof-of-Concepts für Windows wurden veröffentlicht, die Linux-Version ist sehr wahrscheinlich ebenfalls betroffen.
Als Workaround können das Java Deployment Toolkit (JDT) und Java Web Start deaktiviert werden.
Nachtrag 14.4.:
Die Schwachstelle wird bereits für Angriffe ausgenutzt.
Nachtrag 15.4.:
Es handelt sich um zwei Schwachstellen, beide wurden in Version 6 Update 20 behoben.
Nachtrag 16.4.:
Ein Metasploit-Modul wurde veröffentlicht.
Quellen:
- [Full-disclosure] Java Deployment Toolkit Performs Insufficient Validation of Parameters
- Bugtraq: JAVA web start arbitrary command-line injection - "-XXaltjvm" arbitrary dll loading (0day)
- [0DAY] JAVA WEB START ARBITRARY COMMAND-LINE INJECTION - "-XXALTJVM" ARBITRARY DLL LOADING
- Nachtrag 14.4.: AVG: Heads up - 0day ITW - Rihanna is a lure
- Nachtrag 15.4.: Security Alert for CVE-2010-0886 and CVE-2010-0887 Released
- Nachtrag 15.4.: Oracle Security Alert CVE-2010-0886
- Nachtrag 16.4.: Metasploit: The Java Web Start Argument Injection Vulnerability
- Nachtrag 16.4.: Metasploit: Sun Java Web Start Plugin Command Line Argument Injection
Status:
Patch OK Erklärung
