Sobre o conteúdo de segurança do Java para Mac OS X 10.5, segunda atualização
Resumo
Este documento descreve o conteúdo de segurança do Java para Mac OS X 10.5, segunda atualização.
Para fins de proteção de nossos clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma ampla investigação tenha sido feita e que as correções ou versões necessárias estejam disponíveis. Para saber mais sobre segurança do produto Apple, consulte o site sobre Segurança do produto Apple.
Para obter informações sobre a chave PGP de segurança do produto Apple, consulte Como usar a chave PGP de segurança do produto Apple.
Sempre que possível, serão usadas IDs de CVE para indicar as vulnerabilidades e permitir que o usuário obtenha informações mais detalhadas.
Para saber mais sobre outras atualizações de segurança, consulte "Atualizações de segurança da Apple".
Produtos Afetados
Segurança do Produto
Java para Mac OS X 10.5, segunda atualização
-
Java
ID de CVE: CVE-2008-3638
Disponível para: Mac OS X v10.5.4 e posterior, Mac OS X Server v10.5.4 e posterior
Impacto: visitar um site projetado com códigos maliciosos pode causar execução aleatória de códigos
Descrição: o plug-in do Java não impede que os applets iniciem URLs de file://. Visitar um site que contém um applet Java suspeito pode permitir que um invasor remoto inicie arquivos locais, o que pode levar à execução aleatória do código. Esta atualização soluciona o problema por meio da melhoria no tratamento de URLs. Este problema é específico da Apple. Agradecemos a Nitesh Dhanjani e Billy Rios por reportar o problema.
-
Java
ID de CVE: CVE-2008-3637
Disponível para: Mac OS X v10.5.4 e posterior, Mac OS X Server v10.5.4 e posterior
Impacto: visitar um site projetado com códigos maliciosos pode causar execução aleatória de códigos
Descrição: existe um problema de verificação de erro que provoca o uso de uma variável não inicializada no provedor do código de autenticação de mensagem baseado em hash (HMAC) usado para gerar os hashes MD5 e SHA-1. Visitar um site que contém um applet Java suspeito pode levar à execução aleatória do código. Esta atualização soluciona o problema por meio de um aperfeiçoamento no tratamento dos erros. Este problema é específico da Apple. Agradecemos a Radim Marek por reportar esse problema.
-
Java
ID de CVE: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114
Disponível para: Mac OS X v10.5.4 e posterior, Mac OS X Server v10.5.4 e posterior
Impacto: várias vulnerabilidades no Java 1.4.2_16
Descrição: existem várias vulnerabilidades no Java 1.4.2_16, e as mais graves delas podem permitir que applets Java não confiáveis obtenham privilégios elevados. Visitar uma página da Web que contém um applet Java suspeito pode levar à execução aleatória do código. Esses problemas são solucionados com a atualização do Java 1.4 para a versão 1.4.2_18. Para obter mais informações, acesse o site do Sun Java em http://java.sun.com/j2se/1.4.2/ReleaseNotes.html
-
Java
ID de CVE: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Disponível para: Mac OS X v10.5.4 e posterior, Mac OS X Server v10.5.4 e posterior
Impacto: existem várias vulnerabilidades no Java 1.5.0_13
Descrição: várias vulnerabilidades no Java 1.5.0_13, e as mais graves delas podem permitir que applets Java não confiáveis obtenham privilégios elevados. Visitar uma página da Web que contém um applet Java suspeito pode levar à execução aleatória do código. Esses problemas são solucionados com a atualização do Java 1.5 para a versão 1.5.0_16. Para obter mais informações, acesse o site do Sun Java em http://java.sun.com/j2se/1.5.0/ReleaseNotes.html
-
Java
ID de CVE: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Disponível para: Mac OS X v10.5.4 e posterior, Mac OS X Server v10.5.4 e posterior
Impacto: várias vulnerabilidades no Java 1.6.0_05
Descrição: existem várias vulnerabilidades no Java 1.6.0_05, e as mais graves delas podem permitir que applets Java não confiáveis obtenham privilégios elevados. Visitar uma página da Web que contém um applet Java suspeito pode levar à execução aleatória do código. Esses problemas são solucionados com a atualização do Java 1.6 para a versão 1.6.0_07. Para obter mais informações, acesse o site do Sun Java em http://java.sun.com/javase/6/webnotes/ReleaseNotes.html
-
Java
Disponível para: Mac OS X v10.5.4 e posterior, Mac OS X Server v10.5.4 e posterior
Impacto: os aplicativos têm capacidade limitada para usar teclas com criptografia mais forte
Descrição: a política de jurisdição padrão distribuída com o Java 1.5 no Mac OS X v10.5 limita a força máxima das teclas criptográficas compatíveis com o Java Cryptography Extension (JCE) a 128 bits. Esta atualização soluciona o problema alterando a política de jurisdição padrão para a versão de força sem limite.
Informações Adicionais
Importante: a menção a sites e produtos de terceiros tem fins exclusivamente informativos e não constitui endosso nem recomendação. A Apple não assume nenhuma responsabilidade com relação à seleção, ao desempenho ou ao uso de informações ou produtos encontrados em sites de outros fabricantes. A Apple os fornece somente para a comodidade de seus usuários. A Apple não testou as informações localizadas nesses sites e não garante sua precisão ou confiabilidade. Há riscos inerentes ao uso de quaisquer informações ou produtos encontrados na Internet e a Apple não se responsabiliza por tais usos. É importante compreender que o site de outro fabricante é independente da Apple e que esta não possui nenhum controle sobre o conteúdo ali exibido. Para obter informações adicionais, entre em contato com o fornecedor.