Java for Mac OS X 10.5 Update 2 のセキュリティコンテンツについて
概要
ここでは、Java for Mac OS X 10.5 Update 2 のセキュリティコンテンツについて説明します。
アップルでは、ユーザ保護の観点から、徹底した調査が完了し必要なパッチやリリースが利用可能になるまで、セキュリティの問題に関して公開、説明または承認を行いません。アップル製品のセキュリティの詳細については、アップル製品のセキュリティ を参照してください。
アップル製品のセキュリティの PGP キー情報については、「Apple Product Security PGP キーの使用方法」を参照してください。
CVE IDs でも、脆弱性に関する詳細な情報を参照できます。
その他のセキュリティアップデートについては、「セキュリティアップデートについて」を参照してください。
対象製品
製品のセキュリティ
Java for Mac OS X 10.5 Update 2
-
Java
CVE-ID:CVE-2008-3638
対象となるバージョン:Mac OS X v10.5.4 以降、Mac OS X Server v10.5.4 以降
影響:悪意を持って作成された Web サイトにアクセスすると、任意のコードが実行される可能性がある。
説明:Java プラグインは、アプレットが file://URL を起動するのをブロックしません。悪意を持って作成された Java アプレットを含む Web サイトにアクセスすると、リモートの加害者がローカルファイルを起動できてしまい、任意のコードが実行される可能性があります。このアップデートでは URL の処理を改善することにより、この問題を解消しました。これはアップル固有の問題です。この問題の報告は、Nitesh Dhanjani 氏および Billy Rois 氏の功績によるものです。
-
Java
CVE-ID:CVE-2008-3637
対象となるバージョン:Mac OS X v10.5.4 以降、Mac OS X Server v10.5.4 以降
影響:悪意を持って作成された Web サイトにアクセスすると、任意のコードが実行される可能性がある。
説明:MD5 ハッシュおよび SHA-1 ハッシュの生成に使用するハッシュベースメッセージ認証コード (HBAC) に、未初期化変数の使用につながるエラーチェックの問題があります。悪意を持って作成された Java アプレットを含む Web サイトにアクセスすると、任意のコードが実行される可能性があります。このアップデートでは、エラー処理方法を改善することにより問題が解消されています。これはアップル固有の問題です。この問題の報告は、Radim Marek 氏の功績によるものです。
-
Java
CVE-ID:CVE-2008-1185、CVE-2008-1186、CVE-2008-1187、CVE-2008-1188、CVE-2008-1189、CVE-2008-1190、CVE-2008-1191、CVE-2008-1192、CVE-2008-1195、CVE-2008-1196、CVE-2008-3104、CVE-2008-3107、CVE-2008-3108、CVE-2008-3111、CVE-2008-3112、CVE-2008-3113、CVE-2008-3114
対象となるバージョン:Mac OS X v10.5.4 以降、Mac OS X Server v10.5.4 以降
影響:Java 1.4.2_16 に複数の脆弱性がある。
説明:Java 1.4.2_16 に複数の脆弱性があります。もっとも重大な問題は、信頼されていない Java アプレットによってアクセス権が昇格される可能性があることです。悪意を持って作成された Java アプレットを含む Web ページにアクセスすると、任意のコードが実行される可能性があります。この問題は、Java 1.4 をバージョン 1.4.2_18 にアップデートすることによって解消されています。詳細は、Sun 社の Java Web サイト http://java.sun.com/j2se/1.4.2/ja/ReleaseNotes.html を参照してください。
-
Java
CVE-ID:CVE-2008-1185、CVE-2008-1186、CVE-2008-1187、CVE-2008-1188、CVE-2008-1189、CVE-2008-1190、CVE-2008-1191、CVE-2008-1192、CVE-2008-1193、CVE-2008-1194、CVE-2008-1195、CVE-2008-1196、CVE-2008-3103、CVE-2008-3104、CVE-2008-3107、 CVE-2008-3111、CVE-2008-3112、CVE-2008-3113、CVE-2008-3114、CVE-2008-3115
対象となるバージョン:Mac OS X v10.5.4 以降、Mac OS X Server v10.5.4 以降
影響:Java 1.5.0_13 に複数の脆弱性がある。
説明:Java 1.5.0_13 に複数の脆弱性があります。もっとも重大な脆弱性は、信頼されていない Java アプレットによってアクセス権が昇格される可能性があることです。悪意を持って作成された Java アプレットを含む Web ページにアクセスすると、任意のコードが実行される可能性があります。この問題は、Java 1.5 をバージョン 1.5.0_16 にアップデートすることによって解消されています。詳細は、Sun 社の Java Web サイト http://java.sun.com/j2se/1.5.0/ja/ReleaseNotes.html を参照してください。
-
Java
CVE-ID:CVE-2008-3103、CVE-2008-3104、CVE-2008-3105、CVE-2008-3106、CVE-2008-3107、CVE-2008-3109、CVE-2008-3110、CVE-2008-3111、CVE-2008-3112、CVE-2008-3113、CVE-2008-3114、CVE-2008-3115
対象となるバージョン:Mac OS X v10.5.4 以降、Mac OS X Server v10.5.4 以降
影響:Java 1.6.0_05 に複数の脆弱性がある。
説明:Java 1.6.0_05 に複数の脆弱性があります。もっとも重大な脆弱性は、信頼されていない Java アプレットによってアクセス権が昇格される可能性があることです。悪意を持って作成された Java アプレットを含む Web ページにアクセスすると、任意のコードが実行される可能性があります。この問題は、Java 1.6 をバージョン 1.6.0_07 にアップデートすることによって対応されています。詳細は、Sun 社の Java Web サイト http://java.sun.com/javase/6/webnotes/ReleaseNotes.html
-
Java
対象となるバージョン:Mac OS X v10.5.4 以降、Mac OS X Server v10.5.4 以降
影響:強力な暗号キーの使用が制限される。
説明:Java 1.5 on Mac OS X v10.5 のデフォルト管轄ポリシーでは、Java 暗号化機能拡張 (JCE) でサポートされる暗号キーの最大強度が 128 ビットに制限されます。このアップデートでは、デフォルトの管轄ポリシーを無制限強度に変更することによって問題を解消しています。
追加情報
重要:この記事では、他社の Web サイトや製品についての情報を提供しています。Apple は、他社の Web サイトに掲載されている情報または製品の選択、性能、使用については、一切責任を負いません。Apple は、これらの情報を、ユーザの利便性を考慮して提供しているに過ぎません。Apple では、これらのサイトに掲載されている情報の評価を行っておらず、その正確性または信頼性についてはいかなる言及もいたしません。インターネット上のあらゆる情報または製品の使用には本来リスクが伴うものであり、この点について Apple はいかなる責任も負わないものとします。他社のサイトは Apple とは無関係であり、他社の Web サイトの内容を Apple が管理しているわけではないことをご理解ください。その他の情報は、ベンダーに関する情報を見つける を参照してください。