IcedTea-Web任意代码注入漏洞（CVE-2015-5234）

IcedTea-Web任意代码注入漏洞（CVE-2015-5234）
发布日期：2015-09-11
更新日期：2015-10-10

受影响系统：

IcedTea IcedTea-Web < 1.5.3
IcedTea IcedTea-Web 1.6.x－1.6.1

描述：

CVE（CAN） ID: CVE-2015-5234

IcedTea-Web是免费的Java Web浏览器插件。

IcedTea-Web 1.5.3之前版本、1.6.x－1.6.1版本，没有正确过滤小应用程序URL，可使远程攻击者通过构造的网页，利用此漏洞将小应用程序注入到.appletTrustSettings配置文件并执行。

<*来源：Andrea Palazzo
*>

建议：

厂商补丁：

IcedTea
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://bugzilla.redhat.com/show_bug.cgi？id=1233667