1 Risque
Exécution de code arbitraire à distance.
2 Systèmes affectés
* Mac OS X versions 10.5.7 et antérieures disposant de la version 1.5.0_16 et antérieures de Java.
3 Résumé
Une vulnérabilité de la Machine Virtuelle Java permet à un individu distant d'exécuter du code arbitraire.
4 Description
Une vulnérabilité, décrite dans le bulletin CVE CVE-2008-5353, non-corrigée pour les systèmes Mac OS X permet à un individu distant d'exécuter du code arbitraire. Cette vulnérabilité touchant la Machine Virtuelle Java du système, les navigateurs permettant l'exécution de Java sont affectés (Mozilla Firefox et Safari notamment). La viste d'une page compromise ou malveillante permet d'exécuter du code arbitraire sur un système vulnérable.
Des codes exploitant cette vulnérabilité sont disponibles sur l'Internet.
5 Contournement provisoire
Dans l'attente d'un correctif approprié il est recommandé de :
* ne pas exécuter de code Java dont la source n'est pas sûre ;
* désactiver la prise en charge de Java dans le navigateur :
o dans les Préférences de Mozilla Firefox : décocher la case « Activer Java » dans l'onglet « Contenu » ;
o dans les Préférences de Safari : décocher la case « Activer Java » dans l'onglet « Sécurité ». * n'activer Java que sur les sites de confiance.
6 Documentation
* Document du CERTA CERTA-2008-AVI-578 du 24 décembre 2008 :
http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-578/index.html
* Référence CVE CVE-2008-5353 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5353
Gestion détaillée du document
20 mai 2009
version initiale.
«ce document provient du site internet du Centre d'Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques (CERTA) - http://www.certa.ssi.gouv.fr/»).