Informace o bezpečnostním obsahu 2. aktualizace Javy pro Mac OS X 10.5

Tento dokument popisuje bezpečnostní obsah 2. aktualizace Javy pro Mac OS X 10.5.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

2. aktualizace Javy pro Mac OS X 10.5

  • Java

    CVE-ID: CVE-2008-3638

    K dispozici pro: Mac OS X 10.5.4 a novější, Mac OS X Server 10.5.4 a novější

    Dopad: Návštěva škodlivého webu může vést ke spuštění libovolného kódu.

    Popis: Plugin Javy nebrání apletům v otevírání URL adres file://. Navštívení webu obsahujícího škodlivý Java aplet může vzdálenému útočníkovi umožnit spouštět lokální soubory, což může vést ke spuštění libovolného kódu. Tato aktualizace řeší problém vylepšením zpracování adres URL. Jedná se o problém specifický pro Apple. Poděkování na nahlášení problému zaslouží Nitesh Dhanjani a Billy Rios.

  • Java

    CVE-ID: CVE-2008-3637

    K dispozici pro: Mac OS X 10.5.4 a novější, Mac OS X Server 10.5.4 a novější

    Dopad: Návštěva škodlivého webu může vést ke spuštění libovolného kódu.

    Popis: V poskytovateli kódu HMAC (Hash-based Message Authentication Code) sloužícího ke generování hashů MD5 a SHA-1 existuje problém s kontrolou chyb, který vede k použití neinicializované proměnné. Navštívení webu obsahujícího škodlivý Java aplet může vést ke spuštění libovolného kódu. Aktualizace problém řeší vylepšením zpracování chyb. Jedná se o problém specifický pro Apple. Poděkování za nahlášení problému zaslouží Radim Marek.

  • Java

    CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114

    K dispozici pro: Mac OS X 10.5.4 a novější, Mac OS X Server 10.5.4 a novější

    Dopad: Několik bezpečnostních slabin v Javě 1.4.2_16.

    Popis: V Javě 1.4.2_16 existuje několik bezpečnostních slabin, z nichž ty nejzávažnější můžou nedůvěryhodným Java apletům umožnit navýšit si oprávnění. Navštívení webu obsahujícího škodlivý Java aplet může vést ke spuštění libovolného kódu. Problémy byly vyřešeny aktualizací Javy 1.4 na verzi 1.4.2_18. Další informace najdete na webu Sun Java na adrese http://java.sun.com/j2se/1.4.2/ReleaseNotes.html

  • Java

    CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

    K dispozici pro: Mac OS X 10.5.4 a novější, Mac OS X Server 10.5.4 a novější

    Dopad: Několik bezpečnostních slabin v Javě 1.5.0_13.

    Popis: V Javě 1.5.0_13 existuje několik bezpečnostních slabin, z nichž ty nejzávažnější můžou nedůvěryhodným Java apletům umožnit navýšit si oprávnění. Navštívení webu obsahujícího škodlivý Java aplet může vést ke spuštění libovolného kódu. Problémy byly vyřešeny aktualizováním Javy 1.5 na verzi 1.5.0_16. Další informace jsou k dispozici na webu Sun Java na adrese http://java.sun.com/j2se/1.5.0/ReleaseNotes.html

  • Java

    CVE-ID: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

    K dispozici pro: Mac OS X 10.5.4 a novější, Mac OS X Server 10.5.4 a novější

    Dopad: Několik bezpečnostních slabin v Javě 1.6.0_05.

    Popis: V Javě 1.6.0_05 existuje několik bezpečnostních slabin, z nichž ty nejzávažnější můžou nedůvěryhodným Java apletům umožnit navýšit si oprávnění. Navštívení webu obsahujícího škodlivý Java aplet může vést ke spuštění libovolného kódu. Problémy byly vyřešeny aktualizováním Javy 1.6 na verzi 1.6.0_07. Další informace najdete na webu Sun Java na adrese http://java.sun.com/javase/6/webnotes/ReleaseNotes.html

  • Java

    K dispozici pro: Mac OS X 10.5.4 a novější, Mac OS X Server 10.5.4 a novější

    Dopad: Aplikace mají jen omezenou možnost používat silnější kryptografické klíče.

    Popis: Výchozí zásady jurisdikce distribuované jako součást Javy 1.5 v Mac OS X 10.5 omezují maximální délku kryptografických klíčů podporovaných rozšířením Java Cryptography Extension (JCE) na 128 bitů. Aktualizace problém řeší změnou výchozích zásad jurisdikce na verzi s neomezenou sílou. Poděkování za nahlášení problému zaslouží Bruno Harbulot z Manchesterské univerzity.

Důležité: Zmínky o webových stránkách a produktech třetích stran slouží pouze k informačním účelům a nepředstavují žádnou podporu ani doporučení. Společnost Apple nenese žádnou odpovědnost za výběr, výkon nebo používání informací nebo produktů nalezených na webových stránkách třetích stran. Apple tyto informace poskytuje pouze pro pohodlí uživatelů. Společnost Apple netestovala informace nalezené na těchto stránkách a nečiní žádná prohlášení ohledně jejich přesnosti nebo spolehlivosti. Existují rizika spojená s používáním jakýchkoli informací nebo produktů nalezených na internetu a společnost Apple v tomto ohledu nenese žádnou odpovědnost. Vezměte na vědomí, že weby třetích stran jsou nezávislé na společnosti Apple a že Apple nemá obsah takových webů pod kontrolou. Další informace vám poskytne prodejce.

Datum zveřejnění: