Vigil@nce : Java, accès fichier via JFileChooser
février 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Une applet illicite peut employer javax.swing.JFileChooser, afin
de manipuler des fichiers automatiquement.
– Gravité : 1/4
– Date création : 08/02/2011
PRODUITS CONCERNÉS
– Java JRE/JDK/J2SE
DESCRIPTION DE LA VULNÉRABILITÉ
Le composant javax.swing.JFileChooser permet à un utilisateur de
naviguer dans le système de fichiers, et de choisir un fichier.
Si ce composant est directement instancié dans une applet, une
SecurityException survient. Cependant, un attaquant peut appeler
javax.swing.text.html.FormView pour instancier un JFileChooser. Il
peut alors automatiquement :
– parcourir l’arborescence
– créer un répertoire
– renommer un fichier
Une applet illicite peut donc employer javax.swing.JFileChooser,
afin de manipuler des fichiers automatiquement.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Java-acces-fichier-via-JFileChooser-10337