Tietoja Java for Mac OS X 10.5 -päivityksen 2 turvallisuussisällöstä
Yhteenveto
Tässä asiakirjassa kuvataan Java for Mac OS X 10.5 -päivityksen 2 turvallisuussisältö.
Suojellakseen asiakkaitaan Apple ei paljasta tai anna tietoja tietoturvaongelmista tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa "Miten käytetään Applen tuoteturvallisuuden PGP-avainta".
CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viitteinä haavoittuvuuksien lisätietoihin.
Tietoja muista turvallisuuspäivityksistä on artikkelissa "Applen turvallisuuspäivitykset".
Tuotteet, joita asia koskee
Tuoteturvallisuus
Java for Mac OS X 10.5 -päivitys 2
-
Java
CVE-ID: CVE-2008-3638
Saatavana seuraaviin käyttöjärjestelmiin: Mac OS X 10.5.4 ja uudempi, Mac OS X Server 10.5.4 ja uudempi
Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Java-plug-in ei estä appletteja käynnistämään tiedostoa:// URL Haitallisen Java-appletin sisältävän verkkosivuston selaamisen yhteydessä etähyökkääjä voi päästä käynnistämään paikallisia tiedostoja, mikä voi johtaa mielivaltaisen koodin suorittamiseen. Tämä päivitys korjaa ongelman parantamalla URL-osoitteiden käsittelyä. Tämä on Appleen liittyvä ongelma. Kiitos Nitesh Dhanjanille ja Billy Riosille tämän ongelman ilmoittamisesta.
-
Java
CVE-ID: CVE-2008-3637
Saatavana seuraaviin käyttöjärjestelmiin: Mac OS X 10.5.4 ja uudempi, Mac OS X Server 10.5.4 ja uudempi
Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Virheentarkistusongelma johtaa määrittelemättömän muuttujan käyttöön. Palveluntarjoaja tarvitsee tätä HMAC (Hash-based Message Authentication Code) -koodin käsittelyssä käytettävää muuttujaa MD5- ja SHA-1-merkkien luomiseen. Haitallisen Java-appletin sisältävän verkkosivuston selaaminen saattaa aiheuttaa mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman parantamalla virheiden käsittelyä. Tämä on Appleen liittyvä ongelma. Kiitos Radim Marekille tämän ongelman ilmoittamisesta.
-
Java
CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114
Saatavana seuraaviin käyttöjärjestelmiin: Mac OS X 10.5.4 ja uudempi, Mac OS X Server 10.5.4 ja uudempi
Vaikutus: Useita Java 1.4.2_16-haavoittuvuuksia
Kuvaus: Useita Java 1.4.2_16-haavoittuvuuksia, joista vakavin tarkoittaa sitä, että ei-luetetut Java-appletit voivat saada laajennetut käyttöoikeudet. Haitallisen Java-appletin sisältävän verkkosivuston selaaminen saattaa aiheuttaa mielivaltaisen koodin suorittamisen. Nämä ongelmat korjaantuvat, kun Java 1.4 -versio päivitetään versioksi 1.4.2_18. Lisätietoja on Sun Java -sivustossa osoitteessa http://java.sun.com/j2se/1.4.2/ReleaseNotes.html
-
Java
CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Saatavana seuraaviin käyttöjärjestelmiin: Mac OS X 10.5.4 ja uudempi, Mac OS X Server 10.5.4 ja uudempi
Vaikutus: Useita Java 1.5.0_13-haavoittuvuuksia
Kuvaus: Useita Java 1.5.0_13-haavoittuvuuksia, joista vakavin tarkoittaa sitä, että ei-luetetut Java-appletit voivat saada laajennetut käyttöoikeudet. Haitallisen Java-appletin sisältävän verkkosivuston selaaminen saattaa aiheuttaa mielivaltaisen koodin suorittamisen. Nämä ongelmat korjaantuvat, kun Java 1.5 -versio päivitetään versioksi 1.5.0_16. Lisätietoja on Sun Java -sivustossa osoitteessa http://java.sun.com/j2se/1.5.0/ReleaseNotes.html
-
Java
CVE-ID: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Saatavana seuraaviin käyttöjärjestelmiin: Mac OS X 10.5.4 ja uudempi, Mac OS X Server 10.5.4 ja uudempi
Vaikutus: Useita Java 1.6.0_05-haavoittuvuuksia
Kuvaus: Useita Java 1.6.0_05-haavoittuvuuksia, joista vakavin tarkoittaa sitä, että ei-luetetut Java-appletit voivat saada laajennetut käyttöoikeudet. Haitallisen Java-appletin sisältävän verkkosivuston selaaminen saattaa aiheuttaa mielivaltaisen koodin suorittamisen. Nämä ongelmat korjaantuvat, kun Java 1.6 -versio päivitetään versioksi 1.6.0_07. Lisätietoja on Sun Java -sivustossa osoitteessa http://java.sun.com/javase/6/webnotes/ReleaseNotes.html
-
Java
Saatavana seuraaviin käyttöjärjestelmiin: Mac OS X 10.5.4 ja uudempi, Mac OS X Server 10.5.4 ja uudempi
Vaikutus: Sovellusten normaalia vahvempien salausavainten käyttömahdollisuutta on rajoitettu.
Kuvaus: Java 1.5:n Mac OS X 10.5 -tietokoneessa noudattama oletuslainkäyttökäytäntö rajoittaa JCE (Java Cryptography Extension) tukeman salausavaimen enimmäisvahvuuden 128 bittiin. Tämä päivitys korjaa ongelman vaihtamalla oletuslainkäyttökäytännön version rajoittamattomaksi vahvuudeksi.
Lisätietoja
Tärkeää: Kolmansien osapuolien Web-sivustoja ja tuotteita koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue kyseisiä kolmansia osapuolia, Web-sivustoja tai tuotteita. Apple ei vastaa kolmansien osapuolien Web-sivustojen sisältämistä tiedoista tai tuotteista eikä niiden toiminnallisuudesta tai käytöstä. Apple tarjoaa ne vain käyttäjiensä mukavuutta ajatellen. Apple ei ole testannut sivustojen sisältämiä tietoja eikä anna mitään takuita tietojen oikeellisuudesta tai luotettavuudesta. Kaikkien Internetissä olevien tietojen ja tuotteiden käyttöön liittyy riskejä, eikä Apple vastaa niistä. Käyttäjän tulisi ymmärtää, että kolmansien osapuolten sivustot ovat Applesta riippumattomia, eikä Apple voi valvoa niiden sisältöä. Pyydä kolmannelta osapuolelta lisätietoja.