Oracle Java NAAPI插件和Java Deployment Toolkit URI处理程序参数注入漏洞

漏洞介绍

Java NAAPI插件和Java Deployment Toolkit的URI处理程序存在参数注入漏洞。当在Windows下运行时（Linux也有可能），远程攻击者可通过由javaws.exe启动方法处理的（1）-J或（2）-Xxaltjvm参数执行任意代码。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://java.sun.com/javase/downloads/index.jsp

来源:US-CERT

名称: VU#886582

链接：http://www.kb.cert.org/vuls/id/886582
来源: VUPEN

名称: ADV-2010-0853

链接：http://www.vupen.com/english/advisories/2010/0853
来源: XF

名称: jre-toolkit-command-execution(57615)

链接：http://xforce.iss.net/xforce/xfdb/57615
来源: SECTRACK

名称: 1023840

链接：http://www.securitytracker.com/id?1023840
来源: MISC

链接：http://www.reversemode.com/index.php?option=com_content&task=view&id=67&Itemid=1
来源: SECUNIA

名称: 39260

链接：http://secunia.com/advisories/39260
来源: OSVDB

名称: 63648

链接：http://osvdb.org/63648