CERT-XMCO : Compromission d’un système utilisant Java via la visite d’une page Internet spécialement conçue
avril 2010 par CERT-XMCO
* [Full-disclosure] Java Deployment Toolkit Performs Insufficient Validation of Parameters
– Date : 12 Avril 2010
– Plateformes :
* Windows
* Linux
* Unix
– Programmes :
* Java Web Start
* Java Deployment Toolkit
– Gravité : Elevée
– Exploitation : Avec une page web malicieuse
– Dommage : Accès au système
– Description :
Une vulnérabilité a été découverte au sein du logiciel Java Web Start (Java Deployment Toolkit). L’exploitation de celle-ci permet à un attaquant distant de compromettre un système.
La vulnérabilité provient d’un manque de validation des entrées passées en argument de la méthode "launch()". Ces entrées sont transmises à l’exécutable "javaws" ou "javaws.exe" suivant le système d’exploitation. En fournissant une URL spécialement conçue, un pirate est ainsi en mesure de compromettre le système via le chargement d’un fichier ".JAR" exécuté dans un contexte privilégié.
D’après le chercheur, Mac OS ne serait pas affecté par ce problème de sécurité. Une preuve de concept ouvrant la calculette sous Windows est disponible à l’adresse suivante
http://lock.cmpxchg8b.com/bb5eafbc6c6e67e11c4afc88b4e1dd22/testcase.html (bulletin XMCO n°CXA-2010-0433).
Note : la dernière mise à jour de Java proposée par Oracle (voir CXA-2010-0388) ne concerne pas cette faille de sécurité.
– Vulnérable :
* Sun Java SE 6 (JDK/JRE) update 10 et ultérieure (Windows/UNIX/Linux)
* D’autres versions peuvent aussi être affectées
– Référence :
http://archives.neohapsis.com/archives/fulldisclosure/2010-04/0122.html
http://www.reversemode.com/index.php?option=com_content&task=view&id=67&Itemid=1
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0388
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0433
– Correction :
Aucun correctif n’est actuellement disponible.
Nous vous recommandons de définir un "killbit" "CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA" pour empêcher Internet Explorer de charger le plugin vulnérable.
D’autres solutions permettant de mitiger cette vulnérabilité existent et sont disponibles à l’adresse suivante :
http://archives.neohapsis.com/archives/fulldisclosure/2010-04/0122.html
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0432