Informacje o zawartości związanej z zabezpieczeniami w aktualizacji Java Update 2 dla systemu Mac OS X 10.5

  • Ostatnia modyfikacja: 16 październik, 2008
  • Artykuł: HT3179

Podsumowanie

W niniejszym dokumencie opisano zawartość związaną z zabezpieczeniami w aktualizacji Java Update 2 dla systemu Mac OS X 10.5

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących bezpieczeństwa przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł „Jak używać klucza PGP serwisu Bezpieczeństwo produktów firmy Apple”.

Zawsze gdy jest to możliwe, w odniesieniu do luk używane są identyfikatory z katalogu CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł „Uaktualnienia zabezpieczeń firmy Apple”.

Dotyczy produktów

Bezpieczeństwo produktów

Java Update 2 dla systemu Mac OS X 10.5

  • Java

    Identyfikator CVE: CVE-2008-3638

    Dostępne dla systemów: Mac OS X v10.5.4 i nowsze, Mac OS X Server v10.5.4 i nowsze

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować zdalne wykonanie dowolnego kodu

    Opis: wtyczka systemu Java nie blokuje w apletach możliwości wywoływania adresów URL typu file://. Odwiedzenie witryny ze złośliwie przygotowanym apletem Java może umożliwić zdalnemu napastnikowi uruchomienie plików lokalnych i wykonać dowolny kod programu. To uaktualnienie rozwiązuje problem przez poprawienie obsługi adresów URL. Ten problem występuje tylko na komputerach Apple. Problem zgłosili Nitesh Dhanjani i Billy Rios.

  • Java

    Identyfikator CVE: CVE-2008-3637

    Dostępne dla systemów: Mac OS X v10.5.4 i nowsze, Mac OS X Server v10.5.4 i nowsze

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować wykonanie dowolnego kodu

    Opis: w usłudze udostępniającej kod HMAC (Hash-based Message Authentication Code) używanej do tworzenia skrótów MD5 i SHA-1, istnieje problem związany ze sprawdzaniem błędu, prowadzący do wykorzystania niezainicjalizowanej zmiennej. Odwiedzenie witryny ze złośliwie przygotowanym apletem Java może doprowadzić do wykonania dowolnego kodu programu. To uaktualnienie rozwiązuje ten problem poprzez ulepszoną obsługę błędów. Ten problem występuje tylko na komputerach Apple. Problem zgłosił Radim Marek.

  • Java

    Identyfikator CVE: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114

    Dostępne dla systemów: Mac OS X v10.5.4 i nowsze, Mac OS X Server v10.5.4 i nowsze

    Zagrożenie: wiele luk w zabezpieczeniach systemu Java 1.4.2_16

    Opis: w środowisku Java 1.4.2_16 istnieje wiele luk, spośród których najpoważniejsze mogą umożliwić uruchamianie niesprawdzonych apletów Java i uzyskanie wyższych uprawnień. Odwiedzenie strony WWW ze złośliwie przygotowanym apletem Java może doprowadzić do wykonania dowolnego kodu programu. Problem można rozwiązać aktualizując środowisko Java 1.4 do wersji 1.4.2_18. Dalsze informacje dostępne są na witrynie Sun Java pod adresem http://java.sun.com/j2se/1.4.2/ReleaseNotes.html

  • Java

    Identyfikator CVE: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

    Dostępne dla systemów: Mac OS X v10.5.4 i nowsze, Mac OS X Server v10.5.4 i nowsze

    Zagrożenie: wiele luk w zabezpieczeniach w programie Java 1.5.0_13

    Opis: w środowisku Java 1.5.0_13 istnieje wiele luk, spośród których najpoważniejsze mogą umożliwić uruchamianie niesprawdzonych apletów Java i uzyskanie wyższych uprawnień. Odwiedzenie strony WWW ze złośliwie przygotowanym apletem Java może doprowadzić do wykonania dowolnego kodu programu. Problem można rozwiązać aktualizując środowisko Java 1.5 do wersji 1.5.0_16. Dalsze informacje dostępne są na witrynie Sun Java pod adresem http://java.sun.com/j2se/1.5.0/ReleaseNotes.html

  • Java

    Identyfikator CVE: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

    Dostępne dla systemów: Mac OS X v10.5.4 i nowsze, Mac OS X Server v10.5.4 i nowsze

    Zagrożenie: wiele luk w zabezpieczeniach środowiska Java 1.6.0_05

    Opis: w środowisku Java 1.6.0_05 istnieje wiele luk, spośród których najpoważniejsze mogą umożliwić uruchamianie niesprawdzonych apletów Java i uzyskanie wyższych uprawnień. Odwiedzenie strony WWW ze złośliwie przygotowanym apletem Java może doprowadzić do wykonania dowolnego kodu programu. Problem można rozwiązać aktualizując środowisko Java 1.6 do wersji 1.6.0_07. Dalsze informacje dostępne są na witrynie Sun Java pod adresem http://java.sun.com/javase/6/webnotes/ReleaseNotes.html

  • Java

    Dostępne dla systemów: Mac OS X v10.5.4 i nowsze, Mac OS X Server v10.5.4 i nowsze

    Zagrożenie: Ograniczona możliwość używania silniejszych kluczy szyfrujących przez aplikacje

    Opis: domyślna polityka bezpieczeństwa używana w środowisku Java 1.5 dla systemu Mac OS X v10.5 ogranicza maksymalną siłę klucza kryptograficznego obsługiwanego przez rozszerzenie Java Cryptography Extension (JCE) do 128 bajtów. Niniejsza aktualizacja rozwiązuje ten problem umożliwiając w domyślnej polityce bezpieczeństwa stosowanie kluczy o dowolnej sile.

Informacje dodatkowe

Ważne: wzmianki o witrynach i produktach innych firm mają wyłącznie charakter informacyjny i nie stanowią zalecenia ich używania. Firma Apple nie ponosi żadnej odpowiedzialności za nabywanie produktów i korzystanie z informacji dostępnych w witrynach innych firm, ani za ich działanie. Firma Apple podaje tego rodzaju informacje tylko ze względu na wygodę swoich klientów. Firma Apple nie sprawdza informacji podawanych w takich witrynach i nie odpowiada za ich dokładność ani wiarygodność. Z korzystaniem z wszelkich informacji i produktów oferowanych w Internecie wiąże się nieodzownie pewne ryzyko. Firma Apple nie ponosi za nie żadnej odpowiedzialności. Użytkownik musi przyjąć do wiadomości, że witryny innych firm są niezależne od firmy Apple, a firma Apple nie ma żadnej kontroli nad publikowanymi w nich treściami. Aby uzyskać dodatkowe informacje, należy skontaktować się z producentem.