Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας της Ενημέρωσης 2 Java για Mac OS X 10.5
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας της Ενημέρωσης 2 Java για Mac OS X 10.5.
H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.
Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».
Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.
Για να μάθετε σχετικά με άλλες ενημερώσεις ασφάλειας, ανατρέξτε στην ενότητα «Ενημερώσεις ασφάλειας Apple».
Ενημέρωση 2 Java για Mac OS X 10.5
Java
CVE-ID: CVE-2008-3638
Διατίθεται για: Mac OS X v10.5.4 και νεότερη έκδοση, Mac OS X Server v10.5.4 και νεότερη έκδοση
Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Η προσθήκη Java δεν αποκλείει την εκκίνηση διευθύνσεων URL file:// από μικροεφαρμογές. Η επίσκεψη σε ιστότοπο που περιέχει κακόβουλη μικροεφαρμογή Java ενδέχεται να επιτρέψει σε έναν απομακρυσμένο εισβολέα την εκκίνηση τοπικών αρχείων, που μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου χειρισμού των διευθύνσεων URL. Αυτό είναι ειδικό πρόβλημα Apple. Ευχαριστούμε τους Nitesh Dhanjani και Billy Rios για την αναφορά αυτού του προβλήματος.
Java
CVE-ID: CVE-2008-3637
Διατίθεται για: Mac OS X v10.5.4 και νεότερη έκδοση, Mac OS X Server v10.5.4 και νεότερη έκδοση
Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπάρχει ένα πρόβλημα ελέγχου σφαλμάτων που οδηγεί στη χρήση μιας μη αρχικοποιημένης μεταβλητής στον πάροχο HMAC (κωδικός ελέγχου ταυτότητας μηνυμάτων βάσει κατακερματισμού) που χρησιμοποιείται για τη δημιουργία κατακερματισμών MD5 και SHA-1. Η επίσκεψη σε ιστότοπο που περιέχει κακόβουλη μικροεφαρμογή Java ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου χειρισμού σφαλμάτων. Αυτό είναι ειδικό πρόβλημα Apple. Ευχαριστούμε τον Radim Marek για την αναφορά αυτού του προβλήματος.
Java
CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114
Διατίθεται για: Mac OS X v10.5.4 και νεότερη έκδοση, Mac OS X Server v10.5.4 και νεότερη έκδοση
Αποτέλεσμα: Πολλαπλές ευπάθειες σε Java 1.4.2_16
Περιγραφή: Υπάρχουν πολλαπλές ευπάθειες σε Java 1.4.2_16, η σοβαρότερη εκ των οποίων ενδέχεται να επιτρέψει σε μη αξιόπιστες μικροεφαρμογές Java να αποκτήσουν αυξημένα προνόμια. Η επίσκεψη σε ιστοσελίδα που περιέχει κακόβουλη μικροεφαρμογή Java ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Αυτά τα προβλήματα αντιμετωπίζονται με την ενημέρωση της Java 1.4 στην έκδοση 1.4.2_18. Περισσότερες πληροφορίες είναι διαθέσιμες στον ιστότοπο της Sun Java, στη διεύθυνση http://java.sun.com/j2se/1.4.2/ReleaseNotes.html
Java
CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Διατίθεται για: Mac OS X v10.5.4 και νεότερη έκδοση, Mac OS X Server v10.5.4 και νεότερη έκδοση
Αποτέλεσμα: Υπάρχουν πολλαπλές ευπάθειες σε Java 1.5.0_13
Περιγραφή: Πολλαπλές ευπάθειες σε Java 1.5.0_13, η σοβαρότερη εκ των οποίων ενδέχεται να επιτρέψει σε μη αξιόπιστες μικροεφαρμογές Java να αποκτήσουν αυξημένα προνόμια. Η επίσκεψη σε ιστοσελίδα που περιέχει κακόβουλη μικροεφαρμογή Java ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Αυτά τα προβλήματα αντιμετωπίζονται με την ενημέρωση της Java 1.5 στην έκδοση 1.5.0_16. Περισσότερες πληροφορίες είναι διαθέσιμες στον ιστότοπο της Sun Java, στη διεύθυνση http://java.sun.com/j2se/1.5.0/ReleaseNotes.html
Java
CVE-ID: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Διατίθεται για: Mac OS X v10.5.4 και νεότερη έκδοση, Mac OS X Server v10.5.4 και νεότερη έκδοση
Αποτέλεσμα: Πολλαπλές ευπάθειες σε Java 1.6.0_05
Περιγραφή: Υπάρχουν πολλαπλές ευπάθειες σε Java 1.6.0_05, η σοβαρότερη εκ των οποίων ενδέχεται να επιτρέψει σε μη αξιόπιστες μικροεφαρμογές Java να αποκτήσουν αυξημένα προνόμια. Η επίσκεψη σε ιστοσελίδα που περιέχει κακόβουλη μικροεφαρμογή Java ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Αυτά τα προβλήματα αντιμετωπίζονται με την ενημέρωση της Java 1.6 στην έκδοση 1.6.0_07. Περισσότερες πληροφορίες είναι διαθέσιμες στον ιστότοπο της Sun Java, στη διεύθυνση http://java.sun.com/javase/6/webnotes/ReleaseNotes.html
Java
Διατίθεται για: Mac OS X v10.5.4 και νεότερη έκδοση, Mac OS X Server v10.5.4 και νεότερη έκδοση
Αποτέλεσμα: Περιορισμένη δυνατότητα εφαρμογών να χρησιμοποιήσουν ισχυρότερα κλειδιά κρυπτογράφησης
Περιγραφή: Η προεπιλεγμένη πολιτική δικαιοδοσίας που διανέμεται με τη Java 1.5 σε Mac OS X v10.5 περιορίζει τη μέγιστη ισχύ των κλειδιών κρυπτογράφησης που υποστηρίζονται στη Java Cryptography Extension (JCE) σε 128 bit. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα αλλάζοντας την προεπιλεγμένη πολιτική δικαιοδοσίας στην έκδοση απεριόριστης ισχύος. Ευχαριστούμε τον Bruno Harbulot του University of Manchester για την αναφορά αυτού του προβλήματος.
Σημαντικό: Η αναφορά ιστότοπων και προϊόντων τρίτων προορίζεται μόνο για ενημερωτικούς σκοπούς και δεν συνιστά ούτε έγκριση ούτε σύσταση. Η Apple δεν φέρει καμία ευθύνη όσον αφορά την επιλογή, την απόδοση ή τη χρήση πληροφοριών ή προϊόντων που βρίσκονται σε ιστότοπους τρίτων. Η Apple το παρέχει μόνο για διευκόλυνση των χρηστών μας. Η Apple δεν έχει ελέγξει τις πληροφορίες που βρίσκονται σε αυτούς τους ιστότοπους και δεν προβαίνει σε καμία δήλωση σχετικά με την ακρίβεια ή την αξιοπιστία τους. Υπάρχουν κίνδυνοι που συνδέονται με τη χρήση οποιωνδήποτε πληροφοριών ή προϊόντων που βρίσκονται στο διαδίκτυο και η Apple δεν αναλαμβάνει καμία ευθύνη ως προς αυτό. Πρέπει να κατανοήσετε ότι ένας ιστότοπος τρίτου μέρους είναι ανεξάρτητος από την Apple και ότι η Apple δεν έχει κανέναν έλεγχο επί του περιεχομένου σε αυτόν τον ιστότοπο. Επικοινωνήστε με τον προμηθευτή για πρόσθετες πληροφορίες.