关于 Java for Mac OS X 10.5 系统更新 2 的安全性内容
摘要
本文稿描述了 Java for Mac OS X 10.5 系统更新 2 的安全性内容。
为保护我们的客户,在未进行详尽的调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请访问 Apple 产品安全性网站。
有关 Apple 产品安全性 PGP 密匙的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。
如果可能,请使用 CVE ID 来查阅漏洞的详细信息。
要了解有关其他安全性更新的信息,请参阅“Apple 安全性更新”。
受影响的产品
产品安全性
Java for Mac OS X 10.5 系统更新 2
-
Java
CVE-ID:CVE-2008-3638
可用于:Mac OS X v10.5.4 或更高版本、Mac OS X Server v10.5.4 或更高版本
影响:访问恶意制作的网站可能会导致任意代码执行
描述:Java 插件不会阻止 Applet 启动 file:// URL。访问一个包含恶意制作的 Java Applet 的网站可能会使远程攻击者有机会启动本地文件,这可能会导致任意代码执行。本更新通过改进处理 URL 的方法来解决此问题。这是一个 Apple 特定的问题。感谢 Nitesh Dhanjani 和 Billy Rios 报告此问题。
-
Java
CVE-ID:CVE-2008-3637
可用于:Mac OS X v10.5.4 或更高版本、Mac OS X Server v10.5.4 或更高版本
影响:访问恶意制作的网站可能会导致任意代码执行
描述:检查问题时引起了对未初始化变量的使用,此错误存在于“基于散列的消息验证代码 (HMAC)”提供程序中,此程序用于生成 MD5 和 SHA-1 哈希值。访问一个包含恶意制作的 Java Applet 的网站可能会导致任意代码执行。本更新通过改进处理错误的方法来解决此问题。这是一个 Apple 特定的问题。感谢 Radim Marek 报告此问题。
-
Java
CVE-ID:CVE-2008-1185、CVE-2008-1186、CVE-2008-1187、CVE-2008-1188、CVE-2008-1189、CVE-2008-1190、CVE-2008-1191、CVE-2008-1192、CVE-2008-1195、CVE-2008-1196、CVE-2008-3104、CVE-2008-3107、CVE-2008-3108、CVE-2008-3111、CVE-2008-3112、CVE-2008-3113、CVE-2008-3114-3114
可用于:Mac OS X v10.5.4 或更高版本、Mac OS X Server v10.5.4 或更高版本
影响:Java 1.4.2_16 中的多个漏洞
描述:Java 1.4.2_16 中存在多个漏洞,最大的漏洞可能会使不可信的 Java Applet 获得提升的权限。访问一个包含恶意制作的 Java Applet 的网页可能会导致任意代码执行。通过将 Java 1.4 更新为版本 1.4.2_18 可以解决这些问题。有关更多信息,请访问 Sun Java 网站:http://java.sun.com/j2se/1.4.2/ReleaseNotes.html
-
Java
CVE-ID:CVE-2008-1185、CVE-2008-1186、CVE-2008-1187、CVE-2008-1188、CVE-2008-1189、CVE-2008-1190、CVE-2008-1191、CVE-2008-1192、CVE-2008-1193、CVE-2008-1194、CVE-2008-1195、CVE-2008-1196、CVE-2008-3103、CVE-2008-3104、CVE-2008-3107、CVE-2008-3111、CVE-2008-3112、CVE-2008-3113、CVE-2008-3114、CVE-2008-3115
可用于:Mac OS X v10.5.4 或更高版本、Mac OS X Server v10.5.4 或更高版本
影响:Java 1.5.0_13 中的多个漏洞
描述:Java 1.5.0_13 中存在多个漏洞,最大的漏洞可能会使不可信的 Java Applet 获得提升的权限。访问一个包含恶意制作的 Java Applet 的网页可能会导致任意代码执行。通过将 Java 1.5 更新为版本 1.5.0_16 可以解决这些问题。有关更多信息,请访问 Sun Java 网站:http://java.sun.com/j2se/1.5.0/ReleaseNotes.html
-
Java
CVE-ID:CVE-2008-3103、CVE-2008-3104、CVE-2008-3105、CVE-2008-3106、CVE-2008-3107、CVE-2008-3109、CVE-2008-3110、CVE-2008-3111、CVE-2008-3112、CVE-2008-3113、CVE-2008-3114、CVE-2008-3115
可用于:Mac OS X v10.5.4 或更高版本、Mac OS X Server v10.5.4 或更高版本
影响:Java 1.6.0_05 中的多个漏洞
描述:Java 1.6.0_05 中存在多个漏洞,最大的漏洞可能会使不可信的 Java Applet 获得提升的权限。访问一个包含恶意制作的 Java Applet 的网页可能会导致任意代码执行。通过将 Java 1.6 更新为版本 1.6.0_07 可以解决这些问题。有关更多信息,请访问 Sun Java 网站:http://java.sun.com/javase/6/webnotes/ReleaseNotes.html
-
Java
可用于:Mac OS X v10.5.4 或更高版本、Mac OS X Server v10.5.4 或更高版本
影响:应用程序使用更强加密键的功能受到限制
描述:与 Mac OS X v10.5 上的 Java 1.5 一起发布的默认辖区策略会将 Java 密码术扩展 (JCE) 所支持的密码键的最大强度限制到 128 位。 本更新通过将默认辖区策略更改为强度不受限制的版本来解决此问题。
其他信息
重要:文中提到的第三方网站和产品仅供参考,并不代表 Apple 的建议或认可。至于第三方网站信息和产品方面的选择、性能和使用,Apple 不承担任何责任。Apple 这样做只是为了方便我们的用户。Apple 尚未测试这些网站中的信息,对其正确性和可靠性不作任何陈述。Internet 上的任何信息或产品均有使用风险,对此 Apple 不承担任何责任。第三方网站与 Apple 互相独立,Apple 对第三方网站上的内容不具有控制权。敬请理解。有关其他信息,请联系供应商。