Informationen zum Sicherheitsinhalt von Java für Java for Mac OS X 10.5 Update 2
In diesem Dokument wird der Sicherheitsinhalt von Java for Mac OS X 10.5 Update 2 beschrieben.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.
Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates.“
Java for Mac OS X 10.5 Update 2
Java
CVE-ID: CVE-2008-3638
Verfügbar für: Mac OS X v10.5.4 und neuer, Mac OS X Server v10.5.4 und neuer
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Das Java-Plug-in verhindert nicht, dass Applets file://-URLs starten können. Der Besuch einer Website mit einem böswillig erstellten Java-Applet kann es einem Remoteangreifer ermöglichen, lokale Dateien zu starten, was zur Ausführung von willkürlichem Code führen kann. Dieses Update behebt das Problem durch eine verbesserte Handhabung von URLs. Dies ist ein Apple-spezifisches Problem. Danke an Nitesh Dhanjani und Billy Rios für die Meldung dieses Problems.
Java
CVE-ID: CVE-2008-3637
Verfügbar für: Mac OS X v10.5.4 und neuer Mac OS X Server v10.5.4 und neuer
Auswirkung: Das Öffnen einer in böser Absicht erstellten Webseite kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Ein Problem bei der Fehlerüberprüfung zur Verwendung einer nicht initialisierten Variablen ist im HMAC-Anbieter (Hash-based Message Authentication Code) vorhanden, der zum Generieren von MD5- und SHA1-Hashes verwendet wird. Der Besuch einer Website mit einem böswillig erstellten Java-Applet kann zur Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem durch eine verbesserte Fehlerverarbeitung. Dies ist ein Apple-spezifisches Problem. Danke an Radim Marek für die Meldung dieses Problems.
Java
CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114
Verfügbar für: Mac OS X v10.5.4 und neuer, Mac OS X Server v10.5.4 und neuer
Auswirkung: Mehrere Sicherheitslücken in Java 1.4.2_16
Beschreibung: In Java 1.4.2_16 gibt es mehrere Sicherheitslücken. Die schwerwiegendste kann dazu führen, dass nicht vertrauenswürdige Java-Applets erhöhte Berechtigungen erhalten. Der Besuch einer Webseite mit einem böswillig erstellten Java-Applet kann zur Ausführung von willkürlichem Code führen. Diese Probleme werden durch ein Update von Java 1.4 auf die Version 1.4.2_18 behoben. Weitere Informationen sind auf der Sun Java-Website unter http://java.sun.com/j2se/1.4.2/ReleaseNotes.html verfügbar.
Java
CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Verfügbar für: Mac OS X v10.5.4 und neuer, Mac OS X Server v10.5.4 und neuer
Auswirkung: Mehrere Sicherheitslücken in Java 1.5.0_13
Beschreibung: In Java 1.5.0_13 gibt es mehrere Sicherheitslücken. Die schwerwiegendste kann dazu führen, dass nicht vertrauenswürdige Java-Applets erhöhte Berechtigungen erhalten. Der Besuch einer Webseite mit einem böswillig erstellten Java-Applet kann zur Ausführung von willkürlichem Code führen. Diese Probleme werden durch ein Update von Java 1.5 auf die Version 1.5.0_16 behoben. Weitere Informationen sind auf der Sun Java-Website unter http://java.sun.com/j2se/1.5.0/ReleaseNotes.html verfügbar
Java
CVE-ID: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Verfügbar für: Mac OS X v10.5.4 und neuer, Mac OS X Server v10.5.4 und neuer
Auswirkung: Mehrere Schwachstellen in Java 1.6.0_05
Beschreibung: In Java 1.6.0_05 gibt es mehrere Schwachstellen, von denen die schwerwiegendste es einem nicht vertrauenswürdigen Java-Applet ermöglichen kann, erweiterte Rechte zu erlangen. Der Besuch einer Webseite mit einem böswillig erstellten Java-Applet kann zur Ausführung von willkürlichem Code führen. Diese Probleme werden durch ein Update von Java 1.6 auf die Version 1.6.0_07 behoben. Weitere Informationen sind auf der Sun Java-Website unter http://java.sun.com/javase/6/webnotes/ReleaseNotes.html verfügbar.
Java
Verfügbar für: Mac OS X v10.5.4 und neuer, Mac OS X Server v10.5.4 und neuer
Auswirkung: Eingeschränkte Möglichkeit für Anwendungen, stärkere kryptografische Schlüssel zu verwenden.
Beschreibung: Die standardmäßig in Java 1.5 on Mac OS X v10.5 enthaltene Jurisdiction Policy beschränkt die maximale Stärke von Java kryptografischen Schlüsseln, die in Java Cryptography Extension (JCE) verwendet werden, auf 128 Bit. Mit diesem Update wird das Problem behoben, indem die standardmäßige Jurisdiction Policy auf die Unlimited Strength-Version geändert wird. Danke an Bruno Harbulot von der University of Manchester für die Meldung dieses Problems.
Wichtig: Der Hinweis auf Websites und Produkte von Drittanbietern erfolgt ausschließlich zu Informationszwecken und stellt weder eine Billigung noch eine Empfehlung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Informationen und Produkten auf Websites von Drittanbietern. Apple stellt diese Informationen seinen Kunden lediglich als Serviceleistung zur Verfügung. Apple hat die auf diesen Websites gefundenen Informationen nicht geprüft und übernimmt keine Gewähr für ihre Genauigkeit oder Zuverlässigkeit. Die Verwendung von Informationen oder Produkten im Internet birgt Risiken, und Apple übernimmt diesbezüglich keine Verantwortung. Wir bitten um Verständnis, dass Websites von Drittanbietern von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Website hat. Weitere Informationen sind beim Händler erhältlich.