Sun Java JDK / JRE / SDK存在多个安全漏洞

漏洞起因
设计错误
危险等级

 
影响系统
Sun Java JDK 1.5.x
Sun Java JDK 1.6.x / 6.x
Sun Java JRE 1.6.x / 6.x
Sun Java SDK 1.4.x
 
不受影响系统
 
危害
远程攻击者可以利用漏洞获得敏感信息,操作某些数据或进行拒绝服务或任意代码执行攻击。
 
攻击所需条件
攻击者必须构建恶意Applet,诱使用户解析或访问API。
 
漏洞信息
Java Development Kit (JDK)是Sun公司针对Java开发人员发布的免费软件开发工具包。
Sun Java存在安全漏洞,允许恶意用户获得敏感信息,操作某些数据或进行拒绝服务或任意代码执行攻击。
-2D组件存在一个错误,通过不可信Applet或通过WEB服务发送给API的数据,在客户端或服务器部署中执行任意代码。
-2D组件存在另一个错误,通过不可信Applet或通过WEB服务发送给API的数据,在客户端或服务器部署中执行任意代码。
-AWT组件存在错误,允许不可信Applet或者Java Web Start应用在客户端或服务器部署中执行任意代码。
-部署组件存在错误,允许不可信Applet或者Java Web Start应用在客户端或服务器部署中执行任意代码。
-部署组件存在另一个错误,允许不可信Applet或者Java Web Start应用在客户端或服务器部署中执行任意代码。
-HotSpot组件存在错误允许不可信Applet或者Java Web Start应用在客户端或服务器部署中执行任意代码。
-声音组件存在错误,允许通过不可信Applet或通过WEB服务发送给API的数据,在客户端或服务器部署中执行任意代码。
-声音组件存在另一个错误,允许通过不可信Applet或通过WEB服务发送给API的数据,在客户端或服务器部署中执行任意代码。
-Swing组件存在错误允许通过不可信Applet或通过WEB服务发送给API的数据,在客户端或服务器部署中执行任意代码。
-部署组件存在一个错误,允许不可信Applet或者Java Web Start应用在客户端或服务器部署中执行任意代码。
-部署组件存在另一个错误,允许不可信Applet或者Java Web Start应用在客户端或服务器部署中执行任意代码。
-NIO组件存在错误,允许通过WEB服务发送给API的数据对服务器部署进行拒绝服务攻击。
-网络组件存在错误,允许不可信Applet或者Java Web Start应用在客户端部署中执行任意代码。
-SAAJ组件存在错误,允许不可信Applet或者Java Web Start应用在客户端部署中执行任意代码。
-反序列化组件存在错误,允许不可信Applet或者Java Web Start应用在客户端部署中执行任意代码。
 
测试方法
 
厂商解决方案 
用户可参考如下供应商提供的安全公告获得补丁信息:
http://www.oracle.com/technetwork/topics/security/javacpujune2011-313339.html
 
漏洞提供者
Oracle
 
漏洞消息链接
http://secunia.com/advisories/44784/