Acerca da Actualização 2 do conteúdo de segurança de Java para Mac OS X 10.5
Resumo
Este documento descreve a Actualização 2 do conteúdo de segurança de Java para Mac OS X 10.5
Para protecção dos nossos clientes, a Apple não divulga, discute ou confirma questões de segurança até ter sido efectuada uma investigação completa e estarem disponíveis quaisquer correcções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos Apple, consulte o sítio da Web Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte "Como utilizar a chave PGP de segurança dos produtos Apple."
Sempre que possível, são utilizadas ID CVE para referenciar as vulnerabilidades e dar mais informações.
Para obter mais informações sobre outras actualizações de segurança, consulte "Actualizações de segurança Apple."
Produtos afectados
Segurança de produtos
Actualização 2 de Java para Mac OS X 10.5
-
Java
ID CVE: CVE-2008-3638
Disponível para: Mac OS X v10.5.4 e posterior, Mac OS X Server v10.5.4 e posterior
Impacto: Visitar um sítio da Web concebido com intuito malicioso pode causar a execução de código arbitrário
Descrição: O plug-in de Java não bloqueia applets nem impede que iniciem file:// URLs. Visitar um sítio da Web que contenha uma applet em Java concebida com intuito malicioso pode permitir um ataque remoto de inicialização de ficheiros locais, o que poderá levar à execução arbitrária de um código. Esta actualização resolve o problema através do processamento melhorado de URLs. Trata-se de um problema específico da Apple. Os nossos agradecimentos a Nitesh Dhanjani e Billy Rios por comunicar este problema.
-
Java
ID CVE: CVE-2008-3637
Disponível para: Mac OS X v10.5.4 e posterior, Mac OS X Server v10.5.4 e posterior
Impacto: Visitar um sítio da Web concebido com intuito malicioso pode causar a execução de código arbitrário
Descrição: Existe um problema de verificação de erro que leva à utilização de uma variável não inicializada no fornecedor do Código de autenticação de mensagens baseado em Indexação (HMAC) utilizado para gerar indexações MD5 e SHA-1. Visitar um sítio da Web que contenha uma applet Java criada com intuito malicioso pode levar à execução arbitrária de código. Esta actualização soluciona este problema melhorando o processamento de erros. Trata-se de um problema específico da Apple. Os nossos agradecimentos a Radim Marek por comunicar este problema.
-
Java
CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114
Disponível para: Mac OS X v10.5.4 e posterior, Mac OS X Server v10.5.4 e posterior
Impacto: Várias vulnerabilidades em Java 1.4.2_16
Descrição: Existem várias vulnerabilidades em Java 1.4.2_16, das quais a mais grave poderá permitir que applets não fidedignas obtenham elevados privilégios de acesso. Visitar um sítio da Web que contenha uma applet Java concebida com intuito malicioso poderá levar à execução arbitrária de código. Estes problemas foram solucionados através da actualização de Java 1.4 para a versão 1.4.2_18. Estão disponíveis informações adicionais no sítio da Web da Sun Java em http://java.sun.com/j2se/1.4.2/ReleaseNotes.html
-
Java
CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Disponível para: Mac OS X v10.5.4 e posterior, Mac OS X Server v10.5.4 e posterior
Impacto: Existem várias vulnerabilidades em Java 1.5.0_13
Descrição: Existem várias vulnerabilidades em Java 1.5.0_13, das quais a mais grave poderá permitir que applets não fidedignas obtenham elevados privilégios de acesso. Visitar um sítio da Web que contenha uma applet Java concebida com intuito malicioso poderá levar à execução arbitrária de código. Estes problemas foram solucionados através da actualização de Java 1.5 para a versão 1.5.0_16. Estão disponíveis informações adicionais no sítio da Web da Sun Java em http://java.sun.com/j2se/1.5.0/ReleaseNotes.html
-
Java
CVE-ID: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Disponível para: Mac OS X v10.5.4 e posterior, Mac OS X Server v10.5.4 e posterior
Impacto: Existem várias vulnerabilidades em Java 1.6.0_05
Descrição: Existem várias vulnerabilidades em Java 1.6.0_05, das quais a mais grave poderá permitir que applets Java não fidedignas obtenham elevados privilégios de acesso. Visitar um sítio da Web que contenha uma applet Java concebida com intuito malicioso poderá levar à execução arbitrária de código. Estes problemas foram solucionados através da actualização de Java 1.6 para a versão 1.6.0_07. Estão disponíveis informações adicionais no sítio da Web da Sun Java em http://java.sun.com/javase/6/webnotes/ReleaseNotes.html
-
Java
Disponível para: Mac OS X v10.5.4 e posterior, Mac OS X Server v10.5.4 e posterior
Impacto: Capacidade limitada de aplicações na utilização de chaves de criptografia mais fortes
Descrição: A política de jurisdição predefinida distribuída com Java 1.5 em Mac OS X v10.5 limita a capacidade máxima das chaves de criptografia suportadas em Java Cryptography Extension (JCE) para 128 bits. Esta actualização soluciona este problema através da alteração da política de jurisdição predefinida para a versão de capacidade ilimitada.
Informações adicionais
Importante: A referência·a sítios da Web·e produtos de outras empresas tem um carácter meramente informativo e não constitui uma aprovação nem uma recomendação. A Apple não assume qualquer responsabilidade no que toca à selecção, desempenho ou utilização de informações ou produtos encontrados em sítios da Web de outras empresas. A Apple fornece estas informações apenas como comodidade para os utilizadores. A Apple não testou as informações encontradas nestes sítios da Web e não garante a respectiva precisão ou fiabilidade. Existem riscos inerentes à utilização de quaisquer informações ou produtos encontrados na Internet, e a Apple não assume qualquer responsabilidade neste aspecto. Compreenda que um sítio da Web de outra empresa é independente da Apple e que a Apple não tem controlo sobre o conteúdo desse sítio da Web. Contacte o fornecedor para obter informações adicionais.