Сведения о проблемах системы безопасности, устраняемых в Java для Mac OS X 10.5, обновление 2
В этом документе приводятся сведения о проблемах системы безопасности, устраняемых в Java для Mac OS X 10.5, обновление 2.
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.
Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
Java для Mac OS X 10.5, обновление 2
Java
Идентификатор CVE: CVE-2008-3638
Целевые продукты: Mac OS X 10.5.4 и более поздней версии, Mac OS X Server 10.5.4 и более поздней версии
Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода
Описание. Плагин Java не блокирует апплетам запуск URL-адресов file://. Посещение веб-сайта, содержащего вредоносный Java-апплет, может позволить удаленному злоумышленнику запустить локальные файлы, что может привести к выполнению произвольного кода. Данное обновление устраняет проблему посредством улучшения обработки URL-адресов. Это проблема, специфичная для Apple. Благодарим Nitesh Dhanjani и Billy Rios за сообщение о проблеме.
Java
Идентификатор CVE: CVE-2008-3637
Целевые продукты: Mac OS X 10.5.4 и более поздней версии, Mac OS X Server 10.5.4 и более поздней версии
Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода
Описание. Проблема проверки ошибок, приводящая к использованию неинициализированной переменной, существует в поставщике кода проверки подлинности сообщения на основе хэша (HMAC), используемом для создания хэшей MD5 и SHA-1. Посещение веб-сайта, содержащего вредоносный Java-апплет, может привести к выполнению произвольного кода. Данное обновление устраняет проблему посредством улучшения обработки ошибок. Это проблема, специфичная для Apple. Благодарим Radim Marek за сообщение о проблеме.
Java
Идентификатор CVE: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114
Целевые продукты: Mac OS X 10.5.4 и более поздней версии, Mac OS X Server 10.5.4 и более поздней версии
Воздействие. Множественные уязвимости в Java 1.4.2_16
Описание. В Java 1.4.2_16 имеется множество уязвимостей, наиболее серьезная из которых может позволить ненадежным Java-апплетам получить расширенные привилегии. Посещение веб-страницы, содержащей вредоносный Java-апплет, может привести к выполнению произвольного кода. Эти проблемы решены путем обновления Java 1.4 до версии 1.4.2_18. Дополнительная информация доступна на веб-сайте Sun Java по адресу http://java.sun.com/j2se/1.4.2/ReleaseNotes.html
Java
Идентификатор CVE: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Целевые продукты: Mac OS X 10.5.4 и более поздней версии, Mac OS X Server 10.5.4 и более поздней версии
Воздействие. Множественные уязвимости в Java 1.5.0_13
Описание. В Java 1.5.0_13 имеется множество уязвимостей, наиболее серьезная из которых может позволить ненадежным Java-апплетам получить расширенные привилегии. Посещение веб-страницы, содержащей вредоносный Java-апплет, может привести к выполнению произвольного кода. Эти проблемы решены путем обновления Java 1.5 до версии 1.5.0_16. Дополнительная информация доступна на веб-сайте Sun Java по адресу http://java.sun.com/j2se/1.5.0/ReleaseNotes.html
Java
Идентификатор CVE: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Целевые продукты: Mac OS X 10.5.4 и более поздней версии, Mac OS X Server 10.5.4 и более поздней версии
Воздействие. Множественные уязвимости в Java 1.6.0_05
Описание. В Java 1.6.0_05 имеется множество уязвимостей, наиболее серьезная из которых может позволить ненадежным Java-апплетам получить расширенные привилегии. Посещение веб-страницы, содержащей вредоносный Java-апплет, может привести к выполнению произвольного кода. Эти проблемы решены путем обновления Java 1.6 до версии 1.6.0_07. Дополнительная информация доступна на веб-сайте Sun Java по адресу http://java.sun.com/javase/6/webnotes/ReleaseNotes.html
Java
Целевые продукты: Mac OS X 10.5.4 и более поздней версии, Mac OS X Server 10.5.4 и более поздней версии
Воздействие. Ограниченная возможность приложений использовать более надежные криптографические ключи
Описание. Политика юрисдикции по умолчанию, распространяемая с Java 1.5 в Mac OS X 10.5, ограничивает максимальную надежность криптографических ключей, поддерживаемых в Java Cryptography Extension (JCE), до 128 бит. В этом обновлении решено проблему путем изменения политики юрисдикции по умолчанию на версию с неограниченной силой. Благодарим Bruno Harbulot из Манчестерского университета за сообщение об этой проблеме.
Важно! Сторонние веб-сайты и продукты указаны исключительно в информационных целях. Их упоминание не следует рассматривать в качестве рекламы или рекомендации. Компания Apple не несет никакой ответственности за выбор, функциональность и использование информации или продуктов, представленных на сторонних веб-сайтах. Apple предоставляет эти сведения только для удобства своих пользователей. Компания Apple не проверяла сведения, размещенные на этих сайтах, и не делает никаких заявлений относительно их точности или надежности. Использование любых сведений или продуктов, представленных в Интернете, сопряжено с риском, и Apple не принимает на себя ответственности в этом отношении. Помните о том, что сторонние сайты не зависят от Apple и компания Apple не контролирует их содержимое. Для получения дополнительной информации обратитесь к поставщику.