发布日期：2009-08-04
更新日期：2009-08-07

受影响系统：

Sun JDK 6
Sun JDK 5.0
Sun JRE 6
Sun JRE 5.0
Sun JRE 1.4.2
Sun SDK 1.4.2
CollabNet JNLPAppletlauncher

不受影响系统：

Sun JDK 6.0 Update 15
Sun JDK 5.0 Update 20
Sun JRE 6.0 Update 15
Sun JRE 5.0 Update 20

描述：

---

BUGTRAQ  ID: 35946
CVE ID: CVE-2009-2676

JNLPAppletLauncher是一个基于JNLP的applet启动器类，允许applet使用Java 3D、JOGL、JOAL等扩展。

JNLPAppletLauncher中的安全漏洞可能影响Sun JDK和JRE用户。不可信任的Java Applet可能导致旧版的JNLPAppletLauncher向下载和运行不可信任的applet用户的系统上写入任意文件。出现这个漏洞时用户会看到警告对话框说明数字签名已过期。

<*来源：John Heasman （nisr@nextgenss[.]com）
  
  链接：http://secunia.com/advisories/36159/
        https://www.redhat.com/support/errata/RHSA-2009-1200.html
        https://www.redhat.com/support/errata/RHSA-2009-1199.html
        http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-263490-1
        https://www.redhat.com/support/errata/RHSA-2010-0043.html
*>

建议：

---

厂商补丁：

Red Hat
-------
RedHat已经为此发布了一个安全公告（RHSA-2009:1199-01）以及相应补丁:
RHSA-2009:1199-01：Critical: java-1.5.0-sun security update
链接：https://www.redhat.com/support/errata/RHSA-2009-1199.html

Sun
---
Sun已经为此发布了一个安全公告（Sun-Alert-263490）以及相应补丁:
Sun-Alert-263490：JDK and JRE Blacklist Entry for JNLPAppletLauncher Vulnerability
链接：http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-263490-1

补丁下载：
http://java.sun.com/javase/downloads/index.jsp
http://www.java.com/en/download/help/5000010800.xml

浏览次数：2698
严重程度：0（网友投票）