Acerca del contenido de seguridad de la actualización 2 de Java para Mac OS X 10.5

En este documento, se describe el contenido de seguridad de la actualización 2 de Java para Mac OS X 10.5.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información sobre otras actualizaciones de seguridad, consulta “Actualizaciones de seguridad”.

Actualización 2 de Java para Mac OS X 10.5

• Java

  CVE-ID: CVE-2008-3638

  Disponible para: Mac OS X v10.5.4 y versiones posteriores, Mac OS X Server v10.5.4 y versiones posteriores

  Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

  Descripción: El complemento de Java no impedía que los applets iniciaran URL de file://. Visitar un sitio web que contenga un applet de Java creado con fines malintencionados podía permitir que un atacante remoto iniciara archivos locales, lo que podía ocasionar la ejecución de código arbitrario. En esta actualización, se soluciona el problema mediante una mejor gestión de las URL. Este es un problema específico de Apple. Le damos las gracias a Nitesh Dhanjani y Billy Rios por informar este problema.

• Java

  CVE-ID: CVE-2008-3637

  Disponible para: Mac OS X v10.5.4 y versiones posteriores, Mac OS X Server v10.5.4 y versiones posteriores

  Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

  Descripción: Existía un problema de verificación de errores que resultaba en el uso de una variable no inicializada en el proveedor de Código de autenticación de mensajes basado en hash (HMAC) utilizado para generar hashes MD5 y SHA-1. Visitar un sitio web que contenga un applet de Java creado con fines malintencionados podía ocasionar la ejecución de código arbitrario. En esta actualización, se soluciona el problema mediante un mejor manejo del error. Este es un problema específico de Apple. Le damos las gracias a Radim Marek por informar este problema.

• Java

  CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114

  Disponible para: Mac OS X v10.5.4 y versiones posteriores, Mac OS X Server v10.5.4 y versiones posteriores

  Impacto: Varias vulnerabilidades en Java 1.4.2_16.

  Descripción: Existían varias vulnerabilidades en Java 1.4.2_16. La más grave de ellas podía permitir que applets de Java que no fueran de confianza obtuvieran privilegios elevados. Visitar una página web que contenga un applet de Java creado con fines malintencionados podía ocasionar la ejecución de código arbitrario. Estos problemas se solucionaron actualizando Java 1.4 a la versión 1.4.2_18. Hay más información en el sitio web de Sun Java en http://java.sun.com/j2se/1.4.2/ReleaseNotes.html

• Java

  CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

  Disponible para: Mac OS X v10.5.4 y versiones posteriores, Mac OS X Server v10.5.4 y versiones posteriores

  Impacto: Varias vulnerabilidades en Java 1.5.0_13.

  Descripción: Existían varias vulnerabilidades en Java 1.5.0_13. La más grave de ellas podía permitir que applets de Java que no fueran de confianza obtuvieran privilegios elevados. Visitar una página web que contenga un applet de Java creado con fines malintencionados podía ocasionar la ejecución de código arbitrario. Estos problemas se solucionaron actualizando Java 1.5 a la versión 1.5.0_16. Hay más información en el sitio web de Sun Java en http://java.sun.com/j2se/1.5.0/ReleaseNotes.html

• Java

  CVE-ID: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

  Disponible para: Mac OS X v10.5.4, Mac OS X Server v10.5.4 y versiones posteriores

  Impacto: Varias vulnerabilidades en Java 1.6.0_05.

  Descripción: Existían varias vulnerabilidades en Java 1.6.0_05. La más grave de ellas podía permitir que applets de Java que no fueran de confianza obtuvieran privilegios elevados. Visitar una página web que contenga un applet de Java creado con fines malintencionados podía ocasionar la ejecución de código arbitrario. Estos problemas se solucionaron actualizando Java 1.6 a la versión 1.6.0_07. Hay más información en el sitio web de Sun Java en http://java.sun.com/javase/6/webnotes/ReleaseNotes.html

• Java

  Disponible para: Mac OS X v10.5.4 y versiones posteriores, Mac OS X Server v10.5.4 y versiones posteriores

  Impacto: Capacidad limitada de las aplicaciones para usar claves criptográficas más seguras.

  Descripción: La política de jurisdicción predeterminada distribuida con Java 1.5 en Mac OS X v10.5 restringía la potencia máxima de las claves criptográficas admitidas en Java Cryptography Extension (JCE) a 128 bits. En esta actualización, el problema se solucionó cambiando la política de jurisdicción predeterminada a la versión de potencia ilimitada. Le damos las gracias a Bruno Harbulot de University of Manchester por informar este problema.