Mac OS X:Java for Mac OS X 10.6 Update 10

info Nessus Plugin ID 61997

概要

遠端主機包含有助於發動進一步攻擊方法的 Java 版本。

說明

遠端 Mac OS X 主機上執行的 Java for Mac OS X 10.6 版缺少 Update 10,其會將 Java 版本更新至 1.6.0_35。因此,此版本可能包含兩個並未正確限制有關其他類別之資訊存取權的方法。具體地說,隨附之 SunToolKit 提供的「sun.awt.SunToolkit」類別中,「getField」和「getMethod」方法可用來取得類別的任何欄位或方法 - 甚至是私人欄位和方法。

請注意,此問題不會直接遭到惡意利用,而是有助於針對其他弱點 (直接遭到惡意利用的弱點) 發動攻擊,例如 CVE-2012-4681 中發現的弱點。

解決方案

升級至 Java for Mac OS X 10.6 Update 10,其中包含 JavaVM Framework 的版本 13.8.3。

另請參閱

http://www.nessus.org/u?00370937

http://support.apple.com/kb/HT5473

http://lists.apple.com/archives/security-announce/2012/Sep/msg00000.html

http://www.securityfocus.com/archive/1/524112/30/0/threaded

Plugin 詳細資訊

嚴重性: Info

ID: 61997

檔案名稱: macosx_java_10_6_update10.nasl

版本: 1.15

類型: local

代理程式: macosx

已發布: 2012/9/6

已更新: 2023/11/27

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 0.8

弱點資訊

CPE: cpe:/a:apple:java_1.6

必要的 KB 項目: Host/local_checks_enabled, Host/MacOSX/Version

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2012/9/5

弱點發布日期: 2012/8/10

參考資訊

CVE: CVE-2012-0547

BID: 55339