О степени безопасности содержимого Java для Mac OS X 10.2 Update 2
Обзор
Настоящий документ описывает степень безопасности обновления Java для Mac OS X 10.2 Update 2.
В целях защиты своих пользователей компания Apple не разглашает и не подтверждает информацию о проблемах безопасности, а также не участвует в ее обсуждении, до тех пор пока не будет полностью завершено изучение проблемы и не будут выпущены все необходимые обновления и выпуски. Дополнительную информацию об обеспечении безопасности продуктов Apple см. на веб-странице «Безопасность продуктов Apple».
Дополнительную информацию об обеспечении безопасности продуктов Apple с помощью ключа PGP см. в статье «Использование PGP-ключа для защиты продуктов Apple».
Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Дополнительную информацию о других обновлениях системы безопасности см. в статье «Обновления системы безопасности Apple».
Продукты, у которых возникает эта проблема
Безопасность продукта
Обновление Java для Mac OS X 10.2 Update 2
-
Java
Идентификатор CVE: CVE-2008-3638
Применимо к: Mac OS X v10.5.4 и более поздним версиям, Mac OS X Server v10.5.4 и более поздним версиям.
Воздействие: Посещение вредоносного веб-сайта может привести к выполнению произвольного кода
Описание: Модуль Java не блокирует апплеты запускаемые с URL-адресов файлов. Посещение веб-сайта, содержащего вредоносный Java-апплет, разрешает удаленному взломщику запуск локальных файлов, что может привести к выполнению произвольного кода. Это обновление решает проблему, исправляя способ обработки URL-адресов. Данная проблема относится только к Apple. Благодарим Нитешу Дханяни и Билли Риос за сообщение об этой проблеме.
-
Java
Идентификатор CVE: CVE-2008-3637
Применимо к: Mac OS X v10.5.4 и более поздним версиям, Mac OS X Server v10.5.4 и более поздним версиям.
Воздействие: Посещение вредоносного веб-сайта может привести к выполнению произвольного кода
Описание: Проблему вызывает проверка ошибок, которая приводит к использованию провайдером для генерации хэш-кодов MD5 и SHA-1 не инициализированной переменной хэш-кода идентификации сообщений (HMAC). Посещение веб-сайта, содержавшего вредоносный Java-апплет, может привести к выполнению произвольного кода. Это обновление устраняет проблему с помощью улучшенной обработки ошибок. Данная проблема относится только к Apple. Благодарим Радима Марека за сообщение об этой проблеме.
-
Java
Идентификатор CVE: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114
Применимо к: Mac OS X v10.5.4 и более поздним версиям, Mac OS X Server v10.5.4 и более поздним версиям.
Воздействие: Ряд уязвимостей в Java 1.4.2_16
Описание: В Java 1.4.2_16 существует ряд уязвимостей, наиболее серьезные из которых могут позволить непроверенным Java-апплетам получить более высокие права. Посещение веб-сайта, содержавшего вредоносный Java-апплет, может привести к выполнению произвольного кода. Данные проблемы устраняются обновлением Java 1.4 до версии 1.4.2_18. Более подробную информацию можно получить на сайте Sun Java по адресу http://java.sun.com/j2se/1.4.2/ReleaseNotes.html
-
Java
Идентификатор CVE: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Применимо к: Mac OS X v10.5.4 и более поздним версиям, Mac OS X Server v10.5.4 и более поздним версиям.
Воздействие: Ряд уязвимостей в Java 1.5.0_13
Описание: В Java 1.5.0_13 существует ряд уязвимостей, наиболее серьезные из которых могут позволить непроверенным Java-апплетам получить более высокие права. Посещение веб-сайта, содержавшего вредоносный Java-апплет, может привести к выполнению произвольного кода. Данные проблемы устраняются обновлением Java 1.5 до версии 1.5.0_16. Более подробную информацию можно получить на сайте Sun Java по адресу http://java.sun.com/j2se/1.5.0/ReleaseNotes.html
-
Java
Идентификатор CVE: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Применимо к: Mac OS X v10.5.4 и более поздним версиям, Mac OS X Server v10.5.4 и более поздним версиям.
Воздействие: ряд уязвимостей в Java 1.6.0_05
Описание: в Java 1.6.0_05 существует ряд уязвимостей, наиболее серьезные из которых могут позволить непроверенным Java-апплетам получить более высокие права. Посещение веб-сайта, содержавшего вредоносный Java-апплет, может привести к выполнению произвольного кода. Данные проблемы устраняются обновлением Java 1.6 до версии 1.6.0_07. Более подробную информацию можно получить на сайте Sun Java по адресу http://java.sun.com/javase/6/webnotes/ReleaseNotes.html
-
Java
Применимо к: Mac OS X v10.5.4 и более поздним версиям, Mac OS X Server v10.5.4 и более поздним версиям.
Воздействие: Ограничение способности приложений использовать ключи с более высокой криптостойкостью
Описание: Стандартная политика, распространяемая с Java 1.5 в Mac OS X v10.5, ограничивает максимальную длину криптографических ключей, поддерживаемых в криптографических расширениях Java (JCE) до 128 бит. Данное обновление устраняет проблему путем изменения стандартной политики и использования версии с неограниченной длиной ключа.
Дополнительная информация
Внимание! Сторонние веб-сайты и продукты упомянуты исключительно в информационных целях. Их упоминание не следует рассматривать в качестве рекламы или рекомендаций. Компания Apple не несет ответственности за выбор, эксплуатационные качества или использование сведений или продуктов, полученных с веб-сайтов сторонних организаций. Компания Apple приводит данные сведения только для удобства своих пользователей. Кроме того, компания Apple не проверяет данные, размещенные на этих сайтах, и не несет ответственности за их точность и достоверность. Помните, что использование любой информации или продуктов, размещенных в Интернете, сопровождается риском, и компания Apple не берет на себя ответственности за этот риск. Деятельность компании Apple не связана с сайтами сторонних организаций, поэтому компания Apple не имеет отношения к представленной на сайтах информации. Для получения дополнительной информации обратитесь к поставщику.