信息提供：

漏洞类别：

攻击类型：

发布日期：

更新日期：

受影响系统：

安全系统：

无

漏洞报告人：

漏洞描述：

BUGTRAQ  ID: 5263
Sun Java Web Start是一款Sun Microsystems开发的通过WEB发布JAVA应用程序的平台，Web Start由Java实现，可使用在大多数操作系统下，包括Microsoft Windows和Linux下。
Sun Java Web Start处理JNLP文件中引用的图象文件时存在漏洞，远程攻击者可以利用这个漏洞获得图象存储的系统位置。
Java Web Start通过称为Java Network Launching Protocol (JNLP)的文件来描述Java应用程序，JNLP文件符合标准的XML语法，实质就是一个XML文件，这个XML文件可以用来描述引用程序和提供对外部资源如图象文件的引用。不过JNLP文件中引用的图象文件存储在可预测系统位置（C:\Program Files\Java Web Start\.javaws\cache\http\D$MYHOSTNAMEHERE$\P80\DMimages）中，攻击者可以通过构建恶意JNLP文件把任意文件放置到可预测系统位置中，然后通过类似IE浏览器存在"file://"的URL引用来执行被保存的任意文件等漏洞，导致包含在文件中的内容以Java Web Start进程的权限被执行。

测试方法：

无

解决方法：

临时解决方法：
如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：
* 暂时没有合适的临时解决方法。
厂商补丁：
Sun
---
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://java.sun.com/products/javawebstart/