Microsoft JVM跨域Applet未授权通信漏洞

漏洞信息详情

Microsoft JVM跨域Applet未授权通信漏洞

• CNNVD编号：CNNVD-200407-081
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-0723
  
• 漏洞类型：
  
  
  访问验证错误
  
• 发布时间：
  
  2004-07-27
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Marc Schoenefeld※ …

Microsoft JVM是一款使用在Win32操作环境中的Java虚拟机系统，Microsoft JVM包含在大部分Windows版本中，也既包含在大部分Internet Explorer版本中。
Microsoft JVM运行的applet允许跨域通信，远程攻击者可以利用这个漏洞可以绕过安全限制，交换跨站信息，获得敏感数据。
运行在Microsoft JVM的Applet共享通用数据结构，允许任意Applet写或访问而没有任何跨域安全检查，这会导致部分安全策略冲突，造成敏感信息泄露。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 临时关闭Java。
厂商补丁：
Microsoft
———
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/technet/security/” target=”_blank”>
http://www.microsoft.com/technet/security/

来源: XF
名称: msjvm-sandbox-bypass(16666)
链接:http://xforce.iss.net/xforce/xfdb/16666

来源: BID
名称: 10688
链接:http://www.securityfocus.com/bid/10688

来源: BUGTRAQ
名称: 20040710 Covert Channels allow Cross-Site-Java in Microsoft VM
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108948405808522&w=2