מידע על תוכן האבטחה הכלול בעדכון 2 של Java for Mac OS X 10.5

מסמך זה מתאר את תוכן האבטחה הכלול בעדכון 2 של Java for Mac OS X 10.5.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו ב-"כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו ב"עדכוני אבטחה של Apple".

עדכון 2 של Java for Mac OS X 10.5

  • Java

    ‏CVE-ID: ‏CVE-2008-3638

    זמין עבור: Mac OS X v10.5.4 ואילך, Mac OS X Server v10.5.4 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עשוי להוביל להפעלת קוד שרירותי

    תיאור: תוסף ה-Java אינו חוסם את האפשרות של יישומונים להפעיל כתובות URL מסוג file://‎. ביקור באתר אינטרנט המכיל יישומון Java בעל מבנה זדוני עלול לאפשר לתוקף מרוחק להפעיל קבצים מקומיים, ומצב זה עלול להוביל להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות טיפול משופר בכתובות URL. זוהי בעיה שספציפית ל-Apple. תודה ל-Nitesh Dhanjani ול-Billy Rios על הדיווח על בעיה זו.

  • Java

    ‏CVE-ID: ‏CVE-2008-3637

    זמין עבור: Mac OS X v10.5.4 ואילך, Mac OS X Server v10.5.4 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

    תיאור: שגיאה בבדיקה של בעיה שמובילה לשימוש במשתנה לא מאותחל קיימת בקוד אימות ההודעה המבוסס על Hash ‏(HMAC) שבו הספק השתמש ליצירת פונקציות ה-Hash ‏של MD5 ו-SHA-1. ביקור באתר אינטרנט המכיל יישומון Java בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות טיפול משופר בשגיאות. זוהי בעיה שספציפית ל-Apple. תודה ל-Radim Marek שדיווח על הבעיה הזו.

  • Java

    ‏CVE-ID: ‏CVE-2008-1185, ‏CVE-2008-1186, ‏CVE-2008-1187, ‏CVE-2008-1188, ‏CVE-2008-1189, ‏CVE-2008-1190, ‏CVE-2008-1191, ‏CVE-2008-1192, ‏CVE-2008-1195, ‏CVE-2008-1196, ‏CVE-2008-3104, ‏CVE-2008-3107, ‏CVE-2008-3108, ‏CVE-2008-3111, ‏CVE-2008-3112, ‏CVE-2008-3113, ‏CVE-2008-3114

    זמין עבור: Mac OS X v10.5.4 ואילך, Mac OS X Server v10.5.4 ואילך

    השפעה: מספר פגיעויות ב-Java 1.4.2_16

    תיאור: מספר פגיעויות קיימות ב-Java 1.4.2_16, והחמורות מביניהן עלולות לאפשר ליישומוני Java לא מהימנים לקבל הרשאות ברמה גבוהה. ביקור באתר אינטרנט המכיל יישומון Java בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי. עדכון של Java 1.4 לגרסה ‎1.4.2_18 פותר בעיות אלה. לרשותכם מידע נוסף באתר האינטרנט של Sun Java, בכתובת http://java.sun.com/j2se/1.4.2/ReleaseNotes.html

  • Java

    ‏CVE-ID: ‏CVE-2008-1185, ‏CVE-2008-1186, ‏CVE-2008-1187, ‏CVE-2008-1188, ‏CVE-2008-1189, ‏CVE-2008-1190, ‏CVE-2008-1191, ‏CVE-2008-1192, ‏CVE-2008-1193, ‏CVE-2008-1194, ‏CVE-2008-1195, ‏CVE-2008-1196, ‏CVE-2008-3103, ‏CVE-2008-3104, ‏CVE-2008-3107, ‏CVE-2008-3111, ‏CVE-2008-3112, ‏CVE-2008-3113, ‏CVE-2008-3114, ‏CVE-2008-3115

    זמין עבור: Mac OS X v10.5.4 ואילך, Mac OS X Server v10.5.4 ואילך

    השפעה: מספר פגיעויות קיימות ב-Java 1.5.0_13

    תיאור: קיימות מספר פגיעויות ב-Java 1.5.0_13, והחמורות מביניהן עלולות לאפשר ליישומוני Java לא מהימנים לקבל הרשאות ברמה גבוהה. ביקור באתר אינטרנט המכיל יישומון Java בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי. עדכון של Java 1.5 לגרסה ‎1.5.0_16 פותר בעיות אלה. לרשותכם מידע נוסף באתר האינטרנט של Sun Java, בדף http://java.sun.com/j2se/1.5.0/ReleaseNotes.html

  • Java

    ‏CVE-ID: ‏CVE-2008-3103, ‏CVE-2008-3104, ‏CVE-2008-3105, ‏CVE-2008-3106, ‏CVE-2008-3107, ‏CVE-2008-3109, ‏CVE-2008-3110, ‏CVE-2008-3111, ‏CVE-2008-3112, ‏CVE-2008-3113, ‏CVE-2008-3114, ‏CVE-2008-3115

    זמין עבור: Mac OS X v10.5.4 ואילך, Mac OS X Server v10.5.4 ואילך

    השפעה: מספר פגיעויות ב-Java 1.6.0_05

    תיאור: מספר פגיעויות קיימות ב-Java 1.6.0_05, והחמורות מביניהן עלולות לאפשר ליישומוני Java לא מהימנים לקבל הרשאות ברמה גבוהה. ביקור באתר אינטרנט המכיל יישומון Java בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי. עדכון של Java 1.6 לגרסה ‎1.6.0_07 פותר בעיות אלה. לרשותכם מידע נוסף באתר האינטרנט של Sun Java, בכתובת http://java.sun.com/javase/6/webnotes/ReleaseNotes.html

  • Java

    זמין עבור: Mac OS X v10.5.4 ואילך, Mac OS X Server v10.5.4 ואילך

    השפעה: יכולת מוגבלת של יישומים להשתמש במפתחות קריפטוגרפיים חזקים יותר

    תיאור: מדיניות הסמכות שנקבעה כברירת מחדל עבור Java 1.5 ב-Mac OS X v10.5 מגבילה את החוזק המרבי של המפתחות הקריפטוגרפיים הנתמכים ב-Java Cryptography Extension ‏(JCE) ל-128 סיביות. עדכון זה מטפל בבעיה על ידי שינוי מדיניות הסמכות שנקבעה כברירת מחדל לגרסת חוזק בלתי מוגבל. תודה ל-Bruno Harbulot מאוניברסיטת מנצ'סטר על הדיווח על בעיה זו.

חשוב: אזכור של אתרים ומוצרים של צד שלישי מיועד למטרות מידע בלבד ואינו מהווה המלצה או תמיכה. Apple אינה נוטלת על עצמה כל אחריות בנוגע לבחירה, לביצועים או לשימוש במידע או במוצרים שנמצאים באתרי צד שלישי. Apple מספקת זאת רק לנוחות המשתמשים שלנו. Apple לא בדקה את המידע שנמצא באתרים אלה ולא הציגה שום מצג לגבי הדיוק או האמינות שלו. קיימים סיכונים הטמונים בשימוש במידע או במוצרים הנמצאים באינטרנט, ו-Apple אינה נוטלת על עצמה כל אחריות בנושא זה. עליכם להבין שאתר של צד שלישי אינו תלוי ב-Apple ושל-Apple אין שליטה על התוכן באתר זה. יש לפנות לספק לקבלת מידע נוסף.

Published Date: