Oracle Java SE Sandbox Bypass Vulnerability — The default Java security properties configuration did not restrict access to the com.sun.org.glassfish.external and com.sun.org.glassfish.gmbal packages. An untrusted Java application or applet could use these flaws to bypass Java sandbox restrictions.
Oracle Java SE contains a critical sandbox bypass vulnerability (CVSS 9.0) allowing untrusted Java applications or applets to escape security restrictions. The default security properties configuration fails to restrict access to com.sun.org.glassfish packages, enabling attackers to execute arbitrary code outside the sandbox. Active exploits exist with no official patch available.
تمثل هذه الثغرة خللاً أمنياً خطيراً في آلية صندوق الحماية الخاص بـ Oracle Java SE، حيث يسمح التكوين الافتراضي لخصائص الأمان بالوصول غير المقيد إلى حزم com.sun.org.glassfish.external وcom.sun.org.glassfish.gmbal. يمكن للمهاجمين استغلال هذا الخلل من خلال تطبيقات Java أو برمجيات صغيرة ضارة لتجاوز جميع قيود صندوق الحماية وتنفيذ تعليمات برمجية خبيثة بصلاحيات كاملة على النظام المستهدف. تشكل هذه الثغرة خطراً كبيراً خاصة في البيئات التي تعتمد على تشغيل محتوى Java من مصادر غير موثوقة عبر المتصفحات أو التطبيقات المؤسسية.
يحتوي Oracle Java SE على ثغرة حرجة لتجاوز صندوق الحماية (CVSS 9.0) تسمح لتطبيقات أو برمجيات Java غير الموثوقة بالهروب من قيود الأمان. يفشل التكوين الافتراضي لخصائص الأمان في تقييد الوصول إلى حزم com.sun.org.glassfish، مما يمكّن المهاجمين من تنفيذ تعليمات برمجية عشوائية خارج صندوق الحماية. توجد استغلالات نشطة دون توفر تصحيح رسمي.
1. Immediately upgrade to the latest Oracle Java SE version (Java 7 Update 11 or later) which includes security patches addressing this vulnerability, or migrate to supported Java versions (Java 8, 11, 17, or 21).
2. Implement application whitelisting and disable Java browser plugins entirely if not required; configure Java security settings to 'Very High' and remove untrusted applet execution capabilities from all endpoints.
3. Deploy network segmentation to isolate systems running vulnerable Java versions, implement strict egress filtering, and monitor for suspicious Java process behavior using EDR solutions with behavioral detection capabilities.
1. الترقية الفورية إلى أحدث إصدار من Oracle Java SE (Java 7 Update 11 أو أحدث) الذي يتضمن تصحيحات أمنية لمعالجة هذه الثغرة، أو الانتقال إلى إصدارات Java المدعومة (Java 8 أو 11 أو 17 أو 21).
2. تطبيق قوائم التطبيقات المسموحة وتعطيل إضافات Java في المتصفحات بالكامل إذا لم تكن مطلوبة؛ تكوين إعدادات أمان Java على مستوى 'عالي جداً' وإزالة قدرات تنفيذ البرمجيات الصغيرة غير الموثوقة من جميع نقاط النهاية.
3. نشر تجزئة الشبكة لعزل الأنظمة التي تشغل إصدارات Java الضعيفة، وتطبيق تصفية صارمة للاتصالات الصادرة، ومراقبة سلوك عمليات Java المشبوهة باستخدام حلول EDR مع قدرات الكشف السلوكي.