1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2007-005 Vulnerabilidad en el procesamiento de imágenes Gif de Sun Java Runtime Environment

Ha sido identificada una vulnerabilidad de buffer overflow en el procesamiento de imágenes de GIF.

  • Fecha de Liberación: 17-Ene-2007
  • Ultima Revisión: 23-Feb-2007
  • Fuente: Sun Alert ID: 102760
  • CVE ID: CVE-2007-0234
  • Riesgo Alto
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Buffer overflow

Sistemas Afectados

JDK y JRE <= 5.0 Update 9
SDK y JRE <= 1.3.1_18
SDK y JRE <= 1.4.2_12

  1. Descripción

    Una vulnerabilidad de buffer overflow en el procesamiento de imágenes GIF en Java Runtime Environment puede permitir a un applet elevar privilegios. Por ejemplo un applet puede concederse a si mismo permisos de lectura y escritura en archivos locales o ejecutar aplicaciones locales con privilegios del usuario que este corriendo el applet.

    Este error puede ocurrir en las siguientes versiones para Windows, Solaris y Unix.

    • JDK y JRE 5.0 Update 9 y anteriores
    • SDK y JRE 1.4.2_12 y anteriores.
    • SDK y JRE 1.3.1_18 y anteriores.

  2. Impacto

    Los usuarios que no cuenten con la actualización correspondiente pueden ser vulnerables a que usuarios maliciosos utilicen los applets para poder explotar esta vulnerabilidad y así poder elevar privilegios de ejecución.

  3. Solución

    Para J2SE 5.0 esta disponible para ser descargado desde la siguiente liga:

    Para J2SE 5.0 actualización 10 para Solaris están disponibles los siguientes parches:

    • J2SE 5.0: Actualización 10 (as delivered in patch 118666-10)
    • J2SE 5.0: Actualización 10 (as delivered in patch 118667-10 (64bit))
    • J2SE 5.0_x86: Actualización 10 (as delivered in patch 118668-10)
    • J2SE 5.0_x86: v 10 (as delivered in patch 118669-10 (64bit))

    Para J2SE 1.4.2 esta disponible para ser descargado desde la siguiente liga:

    http://java.sun.com/j2se/1.4.2/download.html

    Para J2SE 1.3.1 esta disponible para ser descargado desde la siguiente liga:

    http://java.sun.com/j2se/1.3/download.html

  4. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Jesús Mauricio Andrade Guzmán (mandrade at seguridad dot unam dot mx)
  • J. Roberto Sánchez Soledad (roberto dot sanchez at cert dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT