Om sikkerhetsinnholdet i Java for Mac OS X 10.5-oppdatering 8

Dette dokumentet beskriver sikkerhetsinnholdet i Java for Mac OS X 10.5-oppdatering 8.

Dette dokumentet beskriver sikkerhetsinnholdet i Java for Mac OS X 10.5-oppdatering 8, som kan lastes ned og installeres via Programvareoppdatering, eller fra Apple-nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.»

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple sikkerhetsoppdateringer.

Java for Mac OS X 10.5-oppdatering 8

• Java

  CVE-ID: CVE-2009-3555, CVE-2010-1321

  Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8

  Virkning: Flere sårbarheter i Java 1.6.0_20

  Beskrivelse: Det finnes flere sårbarheter i Java 1.6.0_20. Den mest alvorlige av disse kan gjøre det mulig for ikke-godkjent Java-applet å utføre vilkårlig kode utenfor Java-sandkassen. Besøk på en nettside som inneholder en skadelig upålitelig Java-applet kan føre til utføring av vilkårlig kode med rettighetene til gjeldende bruker. Disse problemene løses ved å oppdatere til Java-versjon 1.6.0_22. Mer informasjon er tilgjengelig via Java-nettstedet på http://www.oracle.com/technetwork/java/javase/releasenotes-136954.html

• Java

  CVE-ID: CVE-2009-3555, CVE-2010-1321

  Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8

  Virkning: Flere sårbarheter i Java 1.5.0_24

  Beskrivelse: Det finnes flere sårbarheter i Java 1.5.0_24. Den mest alvorlige av disse kan gjøre det mulig for ikke-godkjent Java-applet å utføre vilkårlig kode utenfor Java-sandkassen. Besøk på en nettside som inneholder en skadelig upålitelig Java-applet kan føre til utføring av vilkårlig kode med rettighetene til gjeldende bruker. Disse problemene løses ved å oppdatere til Java-versjon 1.5.0_26. Mer informasjon er tilgjengelig via Java-nettstedet på http://java.sun.com/j2se/1.5.0/ReleaseNotes.html

• Java

  CVE-ID: CVE-2010-1826

  Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8

  Virkning: En lokal bruker kan ha mulighet til å utføre vilkårlig kode med tillatelsene til en annen bruker som kjører et Java-program

  Beskrivelse: Det er et problem med kommandoinjisering i updateSharingDs håndtering av Mach RPC-meldinger. En lokal bruker kan ha mulighet til å utføre vilkårlig kode med tillatelsene til en annen bruker som kjører et Java-program. Dette problemet løses ved å implementere et delt arkiv for Java per bruker. Problemet påvirker bare Mac OS X-implementeringen av Java. Takk til Dino Dai Zovi som rapporterte dette problemet.

• Java

  CVE-ID: CVE-2010-1827

  Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8

  Virkning: Besøk på et nettsted med et skadelig Java-applet-merke kan føre til uventet programavslutning eller utføring av vilkårlig kode med tillatelsene til den aktuelle brukeren

  Beskrivelse: Det er et problem med minnekorrupsjon i Javas håndtering av grenser for applet-vindu. Besøk på en nettside som inneholder et skadelig Java-applet-merke kan føre til uventet programavslutning eller utføring av vilkårlig kode med rettighetene til gjeldende bruker. Problemet er løst gjennom forbedret validering av vindusgrenser. Problemet påvirker bare Mac OS X-implementeringen av Java.