Acerca del contenido de seguridad de la actualización 2 de Java para Mac OS X 10.5
Resumen
En este documento se describe el contenido de seguridad de la actualización 2 de Java para Mac OS X 10.5.
Para la protección de nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya realizado una exhaustiva investigación y estén disponibles todas las versiones y actualizaciones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".
Cuando es posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a la hora de obtener más información.
Para obtener información sobre otras las actualizaciones de seguridad, consulte "Actualizaciones de seguridad de Apple".
Productos afectados
Seguridad de los productos
Actualización 2 de Java para Mac OS X 10.5
-
Java
CVE-ID: CVE-2008-3638
Disponible para: Mac OS X v10.5.4 y posterior, Mac OS X Server v10.5.4 y posterior
Impacto: la visita a un sitio web creado con fines malintencionados puede provocar la ejecución de código arbitrario.
Descripción: el plug-in de Java no impide que los applets inicien las URL file://. La visita a sitios web que contienen applets Java creados con fines malintencionados puede ocasionar que un atacante remoto inicie archivos locales, lo que podría provocar la ejecución de código arbitrario. Esta actualización resuelve el problema mediante la mejora del procesamiento de las direcciones URL. Se trata de un problema específico de Apple. Gracias a Nitesh Dhanjani y Billy Rios por informar de este problema.
-
Java
CVE-ID: CVE-2008-3637
Disponible para: Mac OS X v10.5.4 y posterior, Mac OS X Server v10.5.4 y posterior
Impacto: la visita a un sitio web creado con fines malintencionados puede provocar la ejecución de código arbitrario.
Descripción: existe un problema de comprobación de errores que provoca el uso de una variable no inicializada en el proveedor de Código de autenticación de mensajes basados en hash (HMAC) usado para generar los hashes MD5 y SHA-1. La visita a sitios web que contienen applets Java creados con fines malintencionados puede provocar la ejecución de código arbitrario. En esta actualización se aborda el problema mediante la gestión de errores mejorada. Se trata de un problema específico de Apple. Gracias a Radim Marek por informar de este problema.
-
Java
CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114
Disponible para: Mac OS X v10.5.4 y posterior, Mac OS X Server v10.5.4 y posterior
Impacto: varias vulnerabilidades en Java 1.4.2_16
Descripción: existen varias vulnerabilidades en Java 1.4.2_16, la más grave puede provocar que applets Java que no sean de confianza obtengan privilegios de alto nivel. La visita a páginas web que contienen applets Java creados con fines malintencionados puede provocar la ejecución de código arbitrario. Estos problemas se solucionan con la actualización de Java 1.4 a la versión 1.4.2_18. Puedes obtener más información en el sitio web de Sun Java en http://java.sun.com/j2se/1.4.2/ReleaseNotes.html
-
Java
CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Disponible para: Mac OS X v10.5.4 y posterior, Mac OS X Server v10.5.4 y posterior
Impacto: existen varias vulnerabilidades en Java 1.5.0_13
Descripción: existen varias vulnerabilidades en Java 1.5.0_13, la más grave puede provocar que applets Java que no sean de confianza obtengan privilegios de alto nivel. La visita a páginas web que contienen applets Java creados con fines malintencionados puede provocar la ejecución de código arbitrario. Estos problemas se solucionan con la actualización de Java 1.5 a la versión 1.5.0_16. Puedes obtener más información en el sitio web de Sun Java en http://java.sun.com/j2se/1.5.0/ReleaseNotes.html
-
Java
CVE-ID: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Disponible para: Mac OS X v10.5.4 y posterior, Mac OS X Server v10.5.4 y posterior
Impacto: existen varias vulnerabilidades en Java 1.6.0_05
Descripción: existen varias vulnerabilidades en Java 1.6.0_05, la más grave puede provocar que applets Java que no sean de confianza obtengan privilegios de alto nivel. La visita a páginas web que contienen applets Java creados con fines malintencionados puede provocar la ejecución de código arbitrario. Estos problemas se solucionan con la actualización de Java 1.6 a la versión 1.6.0_07. Puedes obtener más información en el sitio web de Sun Java en http://java.sun.com/javase/6/webnotes/ReleaseNotes.html
-
Java
Disponible para: Mac OS X v10.5.4 y posterior, Mac OS X Server v10.5.4 y posterior
Impacto: capacidad limitada de las aplicaciones para usar claves criptográficas más potentes
Descripción: la política de jurisdicción por omisión distribuida con Java 1.5 en Mac OS X v10.5 limita la potencia máxima de las claves criptográficas admitida en Java Cryptography Extension (JCE) a 128 bits. En esta actualización se aborda el problema mediante la modificación de la política de jurisdicción por omisión, por la versión de potencia ilimitada.
Información adicional
Importante: La mención de productos y sitios web de terceras partes se realiza sólo con fines informativos y no implica recomendación ni aprobación. Apple declina toda responsabilidad referente a la elección, el funcionamiento o el uso de la información o los productos contenidos en estos sitios web. Apple sólo ofrece información de los mismos para la comodidad de nuestros usuarios. Apple no ha verificado la información contenida en estos sitios y no defiende su precisión o fiabilidad. El uso de cualquier información o producto encontrado en Internet conlleva riesgos inherentes, y Apple declina toda responsabilidad al respecto. Debes comprender que los sitios de terceras partes son independientes de Apple y, por lo tanto, Apple no tiene ningún control sobre los contenidos de estos sitios. Ponte en contacto con el proveedor para obtener más información.