Vulnerability in the Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: AWT, JavaFX). Supported versions that are affected are Oracle Java SE: 8u471, 8u471-b50, 8u471-perf, 11.0.29, 17.0.17, 21.0.9, 25.0.1; Oracle GraalVM for JDK: 17.0.17 and 21.0.9; Oracle GraalVM Enterprise Edition: 21.3.16. Easily exploitable vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Successful attacks require human interaction from a person other than the attacker and while the vulnerability is in Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition accessible data. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code installed by an administrator). CVSS 3.1 Base Score 7.4 (Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:N).
A high-severity vulnerability (CVSS 7.4) in Oracle Java SE, GraalVM for JDK, and GraalVM Enterprise Edition affects multiple versions through the AWT and JavaFX components. The vulnerability allows unauthenticated network attackers to compromise data integrity through malicious Java Web Start applications or applets, requiring user interaction. While primarily impacting client-side Java deployments, successful exploitation can significantly affect downstream systems and data.
IMMEDIATE ACTIONS:
1. Inventory all Java deployments: identify systems running affected versions (Java 8u471, 11.0.29, 17.0.17, 21.0.9, 25.0.1, GraalVM 17.0.17/21.0.9/21.3.16)
2. Prioritize patching client-side deployments (Java Web Start, applets) over server-side trusted code
3. Disable Java Web Start and applets in browsers if not business-critical
4. Apply Oracle's latest security patches immediately upon availability
PATCHING GUIDANCE:
- Update to patched versions: Java 8u481+, 11.0.30+, 17.0.18+, 21.0.10+, 25.0.2+
- GraalVM users: update to versions released in January 2025 security bulletin
- Test patches in non-production environments first
- Schedule maintenance windows for production systems
COMPENSATING CONTROLS (if patching delayed):
- Restrict Java Web Start application sources to trusted internal repositories
- Implement network segmentation to limit lateral movement from compromised clients
- Deploy application whitelisting to prevent unauthorized Java execution
- Monitor for suspicious Java process behavior (file modifications, network connections)
- Disable AWT/JavaFX rendering in sandboxed environments where possible
DETECTION RULES:
- Monitor for java.exe/javaw.exe processes with suspicious parent processes
- Alert on file modifications in user temp directories during Java execution
- Track Java Web Start cache access patterns (typically %APPDATA%\Sun\Java\Deployment)
- Monitor network connections from Java processes to non-whitelisted destinations
- Log all Java applet/Web Start application launches with source URLs
الإجراءات الفورية:
1. حصر جميع نشر Java: تحديد الأنظمة التي تعمل بالإصدارات المتأثرة (Java 8u471، 11.0.29، 17.0.17، 21.0.9، 25.0.1، GraalVM 17.0.17/21.0.9/21.3.16)
2. إعطاء الأولوية لتصحيح نشر جانب العميل (Java Web Start، applets) على الكود الموثوق من جانب الخادم
3. تعطيل Java Web Start و applets في المتصفحات إذا لم تكن حرجة للعمل
4. تطبيق أحدث تصحيحات الأمان من Oracle فور توفرها
إرشادات التصحيح:
- التحديث إلى الإصدارات المصححة: Java 8u481+، 11.0.30+، 17.0.18+، 21.0.10+، 25.0.2+
- مستخدمو GraalVM: التحديث إلى الإصدارات المُصدرة في نشرة الأمان لشهر يناير 2025
- اختبار التصحيحات في بيئات غير الإنتاج أولاً
- جدولة نوافذ الصيانة لأنظمة الإنتاج
الضوابط البديلة (إذا تأخر التصحيح):
- تقييد مصادر تطبيقات Java Web Start إلى مستودعات داخلية موثوقة
- تنفيذ تقسيم الشبكة لتحديد الحركة الجانبية من العملاء المخترقين
- نشر القائمة البيضاء للتطبيقات لمنع تنفيذ Java غير المصرح به
- مراقبة سلوك عملية Java المريب (تعديلات الملفات، الاتصالات الشبكية)
- تعطيل عرض AWT/JavaFX في البيئات المحدودة حيث أمكن
قواعد الكشف:
- مراقبة عمليات java.exe/javaw.exe مع عمليات أب مريبة
- تنبيه على تعديلات الملفات في دلائل temp للمستخدم أثناء تنفيذ Java
- تتبع أنماط وصول ذاكرة التخزين المؤقت Java Web Start (عادة %APPDATA%\Sun\Java\Deployment)
- مراقبة الاتصالات الشبكية من عمليات Java إلى وجهات غير موثوقة
- تسجيل جميع عمليات إطلاق applet/Web Start مع عناوين URL المصدر