Vigil@nce - Oracle Java : exécution de code durant l’installation
avril 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut inviter la victime à télécharger des
bibliothèques illicites sous Windows, afin d’exécuter du code
lors de l’installation d’une application nécessitant ces DLL.
Produits concernés : Java Oracle.
Gravité : 2/4.
Date création : 08/02/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Lorsqu’un utilisateur installe une nouvelle application sous
Windows, il télécharge le programme d’installation (install.exe
par exemple), puis l’exécute.
Cependant, le programme d’installation Oracle Java charge des DLL
(UXTheme.dll, RASAdHlp.dll, SetupAPI.dll, HNetCfg.dll,
XPSP2Res.dll, ProfAPI.dll, Secur32.dll, NTMarta.dll, Version.dll,
WinHTTP.dll, NetUtils.dll, WindowsCodecs.dll) depuis le
répertoire courant. Ainsi, si un attaquant a invité la victime
à télécharger un fichier DLL malveillant, avant qu’il exécute
install.exe depuis le répertoire Téléchargement, le code situé
dans la DLL est exécuté.
Un attaquant peut donc inviter la victime à télécharger des
bibliothèques illicites sous Windows, afin d’exécuter du code
lors de l’installation de Oracle Java.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Oracle-Java-execution-de-code-durant-l-installation-18885