Обнаружена 0day уязвимость в компонентах Java Web Start (javaws/javaws.exe), позволяющая злоумышленнику загрузить и выполнить произвольный программный код на уязвимой системе. Выполнение производится путем посещения пользователем специально сформированной веб-страницы веб-браузером Internet Explorer или Mozilla Firefox (NPAPI-браузеры). Проблема заключается в недостаточной обработке параметров командной строки и возможностях Java Deployment Toolkit осуществлять загрузку необходимых для выполнения файлов в виртуальной машине, используя протокол Java Network Launching Protocol (JNLP). В компании Oracle не считают уязвимость настолько критичной, чтобы выпускать внеочередное обновление. Уязвимыми являются версии Java SE 6 update 10 и выше для платформы Windows и Linux. Для противодействия возможным атакам рекомендуется отключить Java Web Start и запретить Java Deployment Toolkit (JDT) устанавливать приложения, либо, установить killbit-метку на "CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA" для Internet Explorer, а для Mozilla Firefox и других NPAPI-браузеров запретить доступ к файлу "npdeploytk.dll".
Описание и эксплоит
Техническое описание