Tietoja Java for Mac OS X 10.5 -päivityksen 2 turvallisuussisällöstä
Tässä asiakirjassa kerrotaan Java for Mac OS X 10.5 -päivityksen 2 turvallisuussisällöstä.
Apple haluaa suojella asiakkaitaan eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
Java for Mac OS X 10.5 -päivitys 2
Java
CVE-ID: CVE-2008-3638
Saatavuus: Mac OS X 10.5.4 ja uudemmat, Mac OS X Server 10.5.4 ja uudemmat
Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Java-liitännäinen ei estänyt sovelmia avaamasta file://-URL-osoitteita. Haitallisen Java-sovelman sisältävällä verkkosivustolla vierailu saattoi sallia etähyökkääjän avata paikallisia tiedostoja, mikä saattoi johtaa mielivaltaisen koodin suorittamiseen. Tämä päivitys korjaa ongelman parantamalla URL-osoitteiden käsittelyä. Tämä on Applea koskeva ongelma. Kiitokset Nitesh Dhanjanille ja Billy Riosille tämän ongelman ilmoittamisesta.
Java
CVE-ID: CVE-2008-3637
Saatavuus: Mac OS X 10.5.4 ja uudemmat, Mac OS X Server 10.5.4 ja uudemmat
Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: MD5- ja SHA-1-hajautusten luomisessa käytetyllä HMAC-palveluntarjoajalla (Hash-based Message Authentication Code) oli virheentarkistusongelma, joka johti alustamattoman muuttujan käyttämiseen. Haitallisen Java-sovelman sisältävällä verkkosivustolla vierailu saattoi johtaa mielivaltaisen koodin suorittamiseen. Tämä päivitys korjaa ongelman parantamalla virheiden käsittelyä. Tämä on Applea koskeva ongelma. Kiitokset Radim Marekille tämän ongelman ilmoittamisesta.
Java
CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114
Saatavuus: Mac OS X 10.5.4 ja uudemmat, Mac OS X Server 10.5.4 ja uudemmat
Vaikutus: Javan versiossa 1.4.2_16 oli useita haavoittuvuuksia.
Kuvaus: Javan versiossa 1.4.2_16 oli useita haavoittuvuuksia, joista vakavin saattoi mahdollistaa tarkoitettua laajempien käyttöoikeuksien saamisen ei-luotetuille Java-sovelmille. Haitallisen Java-sovelman sisältävällä verkkosivulla vierailu saattoi johtaa mielivaltaisen koodin suorittamiseen. Nämä ongelmat on ratkaistu päivittämällä Java 1.4 versioon 1.4.2_18. Lisätietoja on Sun Java -sivustolla osoitteessa http://java.sun.com/j2se/1.4.2/ReleaseNotes.html
Java
CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Saatavuus: Mac OS X 10.5.4 ja uudemmat, Mac OS X Server 10.5.4 ja uudemmat
Vaikutus: Javan versiossa 1.5.0_13 oli useita haavoittuvuuksia.
Kuvaus: Javan versiossa 1.5.0_13 oli useita haavoittuvuuksia, joista vakavin saattoi mahdollistaa tarkoitettua laajempien käyttöoikeuksien saamisen ei-luotetuille Java-sovelmille. Haitallisen Java-sovelman sisältävällä verkkosivulla vierailu saattoi johtaa mielivaltaisen koodin suorittamiseen. Nämä ongelmat on ratkaistu päivittämällä Java 1.5 versioon 1.5.0_16. Lisätietoja on Sun Java -sivustolla osoitteessa http://java.sun.com/j2se/1.5.0/ReleaseNotes.html
Java
CVE-ID: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Saatavuus: Mac OS X 10.5.4 ja uudemmat, Mac OS X Server 10.5.4 ja uudemmat
Vaikutus: Javan versiossa 1.6.0_05 oli useita haavoittuvuuksia.
Kuvaus: Javan versiossa 1.6.0_05 oli useita haavoittuvuuksia, joista vakavin saattoi mahdollistaa tarkoitettua laajempien käyttöoikeuksien saamisen ei-luotetuille Java-sovelmille. Haitallisen Java-sovelman sisältävällä verkkosivulla vierailu saattoi johtaa mielivaltaisen koodin suorittamiseen. Nämä ongelmat on ratkaistu päivittämällä Java 1.6 versioon 1.6.0_07. Lisätietoja on Sun Java -sivustolla osoitteessa http://java.sun.com/javase/6/webnotes/ReleaseNotes.html
Java
Saatavuus: Mac OS X 10.5.4 ja uudemmat, Mac OS X Server 10.5.4 ja uudemmat
Vaikutus: apeilla oli rajoitettu mahdollisuus käyttää vahvempia salausavaimia.
Kuvaus: Mac OS X 10.5:n mukana toimitetun Java 1.5:n toimivallan oletuskäytäntö rajoitti Java Cryptography Extensionin (JCE) tukemien kryptografisten avainten enimmäisvahvuuden 128 bittiin. Tämä päivitys korjaa ongelman vaihtamalla oletuskäytännön rajoittamattoman vahvuuden versioon. Kiitokset Bruno Harbulotille (Manchesterin yliopisto) tämän ongelman ilmoittamisesta.
Tärkeää: Maininta kolmansien osapuolten verkkosivustoista ja tuotteista on tarkoitettu vain tiedotustarkoituksiin, eikä sitä tule ymmärtää suosituksena. Apple ei ole vastuussa kolmansien osapuolten verkkosivustoilla olevien tietojen tai tuotteiden valinnasta, suorituskyvystä tai käytöstä. Apple tarjoaa tämän käyttäjille vain tiedotustarkoituksiin. Apple ei ole testannut näillä sivustoilla olevia tietoja eikä ole vastuussa niiden tarkkuudesta tai luotettavuudesta. Internetissä olevien tietojen tai tuotteiden käyttöön liittyy riskejä, eikä Apple ole vastuussa niiden käyttöön liittyvistä riskeistä. Huomaa, että kolmannen osapuolen sivusto on riippumaton Applesta eikä Apple voi hallita kyseisen sivuston sisältöä. Voit pyytää lisätietoja myös ohjelmiston toimittajalta.