JRE 6.0 Update 13이 출시되었습니다. 아래 보안 취약점을 패치하고 있으니 내용 확인하시고 업데이트하시기 바랍니다.

Sun Alert 254569 - LDAP 구현에 DoS 공격이나 악성 코드 실행을 허용할 수 있는 취약점

• CR 6717680: 원격 클라이언트가 접속하면서 LDAP 연결을 초기화하는 부분을 공격하여 서비스 거부를 유발할 수 있습니다.
• CR 6737315: LDAP 클라이언트가 LDAP 서버에서 오는 악성 데이터를 그대로 받아 악성 코드를 실행하게 될 수 있습니다.

Sun Alert 254570 - unpack200 JAR 압축 해제 유틸리티의 정수 및 버퍼 오버플로우 취약점

애플릿이나 자바 웹 스타트 응용 프로그램의 압축을 해제하면서 unpack200이라는 JAR 압축 해제 유틸리티를 사용하는데, 이 때 정수 오버플로우나 버퍼 오버플로우가 발생할 수 있습니다. 공격자는 이 취약점을 이용하여 권한을 취득할 수 있습니다. 신뢰할 수 없는 애플릿이 로컬 파일을 읽고 쓰거나, 로컬 응용 프로그램을 실행할 수 있게 됩니다.

Sun Alert 254571 - 이미지 파일과 폰트 처리의 버퍼 오버플로우 취약점

• CR 6804996: PNG 이미지를 처리하는 도중에 버퍼 오버플로우가 발생할 수 있습니다. 신뢰할 수 없는 자바 웹 스타트 응용 프로그램이 권한을 얻을 수 있습니다.
• CR 6804997: GIF 이미지를 처리하는 도중에 버퍼 오버플로우가 발생할 수 있습니다. 신뢰할 수 없는 자바 웹 스타트 응용 프로그램이 권한을 얻을 수 있습니다.
• CR 6804998: GIF 이미지를 처리하는 도중에 버퍼 오버플로우가 발생할 수 있습니다. 신뢰할 수 없는 애플릿이나 자바 웹 스타트 응용 프로그램이 권한을 얻을 수 있습니다.
• CR 6804999: 폰트를 처리하는 도중에 버퍼 오버플로우가 발생할 수 있습니다. 신뢰할 수 없는 애플릿이나 자바 웹 스타트 응용 프로그램이 권한을 얻을 수 있습니다.

Sun Alert 254608 - 폰트 파일을 저장하고 처리하는 코드의 서비스 거부 취약점

임시 폰트 파일을 저장하고 처리하는 과정에 2개의 보안 취약점이 존재합니다. 신뢰할 수 없는 애플릿이나 자바 웹 스타트 응용 프로그램이 이 취약점을 악용하여 디스크 공간을 고갈시킬 수 있습니다.

Sun Alert 254609 - HTTP 서버에서 JAX-WS 서비스를 제공하는 경우 서비스 거부 취약점

JRE에서 제공하는 HTTP 서버 구현으로 JAX-WS 서비스를 제공하는 경우 원격에서 임의의 사용자가 서비스 거부 공격을 할 수 있습니다.

Sun Alert 254610 - 코드 생성 기법을 사용하는 JRE 가상 머신의 권한 상승 취약점

코드 생성 기법을 사용하는 JRE 가상 머신에서 신뢰할 수 없는 애플릿이 권한을 얻을 수 있습니다.

Sun Alert 254611 - 자바 플러그인에서 다수의 권한 상승 취약점

• CR 6646860: 신뢰할 수 없는 애플릿이 애플릿을 역직렬화하는 과정에서 권한을 얻을 수 있는 취약점입니다.
• CR 6724331: 자바 플러그인의 취약점을 이용하면 로컬호스트에서 읽어들인 자바스크립트 코드가 시스템의 임의의 포트로 접속할 수 있게 됩니다. XSS 취약점 공격 등 다른 공격에 이용될 수 있습니다.
• CR 6706490: 자바 플러그인은 요청된 JRE 릴리즈 버전으로 신뢰할 수 있는 애플릿을 실행하도록 허용하는 취약점이 있습니다. 이 취약점을 악용하면 자바스크립트 코드로 이전 JRE 버전의 알려진 취약점을 공격할 수 있게 됩니다.
• CR 6798948: 자바 플러그인이 crossdomain.xml 파일을 파싱하는 부분에 취약점이 있습니다. 신뢰할 수 없는 애플릿이 현재 실행되고 있는 곳에서 허용하는 사이트 목록 대신 crossdomain.xml 파일을 제공하는 임의의 사이트에 접속하는 것이 가능해집니다.
• CR 6782871: 자바 플러그인의 보안 취약점을 악용하면 서명된 애플릿이 보안 대화상자의 내용을 조작하여 사용자를 속일 수 있습니다.