Il taccuino di Armando Leotta Rotating Header Image

Java Deployment Toolkit Injection Vulnerability

Secunia segnala una vulnerabilità particolarmente critica che permette il passaggio arbitrario di parametri a javaw.exe e la successiva esecuzione di codice arbitrario tramite il caricamento di opportune pagine web.

Firefox avvisa così (se ne parlava qui):

java deployment toolkit

java deployment toolkit (avviso di sicurezza di firefox)

Alcuni link utili:

  1. Note sull’aggiornamento (sun.com)
  2. Oracle.com security alerts (oracle.com)
  3. Download JRE / JDK com (JRE o JDK da sun.com)
  4. US CERT (Vulnerability note di US CERT)             

Quest’ultimo, in particolare, evidenzia che in alcuni casi l’aggiornamento alla Java JRE 6 Update 20 non risolve completamente ed occorre rimuovere/rinominare il file npdeploytk.dll

Nota: l’aggiornamento automatico a me non funziona e ho dovuto reinstallare l’intero pacchetto (3).

_____
Clusit

Be Sociable, Share!