Java for Mac OS X 10.5 Update 2 のセキュリティコンテンツについて

Java for Mac OS X 10.5 Update 2 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

Java for Mac OS X 10.5 Update 2

• Java

  CVE-ID：CVE-2008-3638

  対象となるバージョン：Mac OS X v10.5.4 以降、Mac OS X Server v10.5.4 以降

  影響：悪意を持って作成された Web サイトにアクセスすると、任意のコードが実行される可能性がある。

  説明：Java プラグインはアプレットによる file://URL の起動をブロックしないため、悪意を持って作成された Java アプレットを含む Web サイトにアクセスすると、リモートの攻撃者がローカルファイルを起動し、任意のコードを実行する可能性があります。このアップデートでは、URL の処理を改善することで問題が解消されています。これは Apple 固有の問題です。この問題の報告は、Nitesh Dhanjani 氏および Billy Rois 氏の功績によるものです。

• Java

  CVE-ID：CVE-2008-3637

  対象となるバージョン：Mac OS X v10.5.4 以降、Mac OS X Server v10.5.4 以降

  影響：悪意を持って作成された Web サイトにアクセスすると、任意のコードが実行される可能性がある。

  説明：MD5 ハッシュおよび SHA-1 ハッシュの生成に使用するハッシュベースメッセージ認証コード (HMAC) に、未初期化変数の使用につながるエラーチェックの問題があります。悪意を持って作成された Java アプレットを含む Web サイトにアクセスすると、任意のコードが実行される可能性があります。このアップデートでは、エラー処理を改善することで問題が解消されています。これは Apple 固有の問題です。この問題の報告は、Radim Marek 氏の功績によるものです。

• Java

  CVE-ID：CVE-2008-1185、CVE-2008-1186、CVE-2008-1187、CVE-2008-1188、CVE-2008-1189、CVE-2008-1190、CVE-2008-1191、CVE-2008-1192、CVE-2008-1195、CVE-2008-1196、CVE-2008-3104、CVE-2008-3107、CVE-2008-3108、CVE-2008-3111、CVE-2008-3112、CVE-2008-3113、CVE-2008-3114

  対象となるバージョン：Mac OS X v10.5.4 以降、Mac OS X Server v10.5.4 以降

  影響：Java 1.4.2_16 に複数の脆弱性がある。

  説明：Java 1.4.2_16 に複数の脆弱性があります。これらの脆弱性に起因する最も重大な問題として、信頼されていない Java アプレットが昇格した権限を取得する可能性があります。悪意を持って作成された Java アプレットを含む Web ページにアクセスすると、任意のコードが実行される可能性があります。この問題は、Java 1.4 をバージョン 1.4.2_18 にアップデートすることによって解消されています。詳しくは、次の Sun 社の Java Web サイトを参照してください。http://java.sun.com/jp/j2se/1.4.2/ReleaseNotes.html

• Java

  CVE-ID：CVE-2008-1185、CVE-2008-1186、CVE-2008-1187、CVE-2008-1188、CVE-2008-1189、CVE-2008-1190、CVE-2008-1191、CVE-2008-1192、CVE-2008-1193、CVE-2008-1194、CVE-2008-1195、CVE-2008-1196、CVE-2008-3103、CVE-2008-3104、CVE-2008-3107、CVE-2008-3111、CVE-2008-3112、CVE-2008-3113、CVE-2008-3114、CVE-2008-3115

  対象となるバージョン：Mac OS X v10.5.4 以降、Mac OS X Server v10.5.4 以降

  影響：Java 1.5.0_13 に複数の脆弱性がある。

  説明：Java 1.5.0_13 に複数の脆弱性があります。これらの脆弱性に起因する最も重大な問題として、信頼されていない Java アプレットが昇格した権限を取得する可能性があります。悪意を持って作成された Java アプレットを含む Web ページにアクセスすると、任意のコードが実行される可能性があります。この問題は、Java 1.5 をバージョン 1.5.0_16 にアップデートすることによって解消されています。詳しくは、次の Sun 社の Java Web サイトを参照してください。http://java.sun.com/jp/j2se/1.5.0/ReleaseNotes.html

• Java

  CVE-ID：CVE-2008-3103、CVE-2008-3104、CVE-2008-3105、CVE-2008-3106、CVE-2008-3107、CVE-2008-3109、CVE-2008-3110、CVE-2008-3111、CVE-2008-3112、CVE-2008-3113、CVE-2008-3114、CVE-2008-3115

  対象となるバージョン：Mac OS X v10.5.4 以降、Mac OS X Server v10.5.4 以降

  影響：Java 1.6.0_05 に複数の脆弱性がある。

  説明：Java 1.6.0_05 に複数の脆弱性があります。これらの脆弱性に起因する最も重大な問題として、信頼されていない Java アプレットが昇格した権限を取得する可能性があります。悪意を持って作成された Java アプレットを含む Web ページにアクセスすると、任意のコードが実行される可能性があります。この問題は、Java 1.6 をバージョン 1.6.0_07 にアップデートすることによって解消されています。詳しくは、次の Sun 社の Java Web サイトを参照してください。http://java.sun.com/jp/javase/6/webnotes/ReleaseNotes.html

• Java

  対象となるバージョン：Mac OS X v10.5.4 以降、Mac OS X Server v10.5.4 以降

  影響：強力な暗号キーの使用が制限される。

  説明：Java 1.5 on Mac OS X v10.5 のデフォルト管轄ポリシーでは、Java 暗号化機能拡張 (JCE) でサポートされる暗号キーの最大強度が 128 ビットに制限されます。このアップデートでは、デフォルトの管轄ポリシーを無制限強度に変更することによって問題を解消しています。この問題の報告は、マンチェスター大学の Bruno Harbulot 氏の功績によるものです。