Sun corrige trois vulnérabilités critiques de Java

Elles ont été découvertes le 15 mai, par une équipe de Google. Et viennent d'être corrigées par des équipes de Sun. Les deux failles critiques, repérées dans l'environnement d'exécution Java ?" Java Runtime Environment ?", concernaient les versions de JRE et de Java Development Kit 6, 5.0 version 10 et précédentes, les JVR et SDK 1.4.2_14 et précédentes, et 1.3.1_20 ou 1.3.1_19 selon la faille.La première des deux vulnérabilités concerne un débordement de mémoire dans la machine virtuelle qui permet l'exécution arbitraire de code. La seconde provoque l'arrêt de la machine par déni de service.Sun met à disposition les patchs sur son bulletin de sécurité. L'éditeur conseille également de passer à la version 6.2 de JDK et JRE.

Une signature XML vérolée

Cette version corrige aussi une vulnérabilité dans le traitement des fichiers au format XSLT (Extended Stylesheet Language Transformations). Là aussi, il s'agit d'exécution arbitraire de code, par le biais d'une signature XML vérolée. Cette faille concerne les JDK et JRE 1.6.x, mais aussi le Web Server 7.x de Sun, ainsi que son Application Server 8.x et 9.x.Depuis le début de l'année, une douzaine de failles a été identifiée dans les différents produits de l'éditeur : machine virtuelle, Java System Access Manager, System Web Serve, Sun Solaris, etc.