מידע על תוכן האבטחה הכלול בעדכון 8 של Java for Mac OS X 10.5

מסמך זה מתאר את תוכן האבטחה הכלול בעדכון 8 של Java for Mac OS X 10.5.

מסמך זה מתאר את תוכן האבטחה הכלול בעדכון 8 של Java for Mac OS X 10.5, שניתן להוריד ולהתקין דרך ההעדפות תחת עדכון תוכנה, או דרך ההורדות של Apple.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא "כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא "עדכוני אבטחה של Apple."

עדכון 8 של Java for Mac OS X 10.5

• Java

  ‏CVE-ID: ‏CVE-2009-3555, ‏CVE-2010-1321

  זמין עבור: Mac OS X v10.5.8‏, Mac OS X Server v10.5.8

  השפעה: מספר פגיעויות ב-Java 1.6.0_20

  תיאור: קיימות מספר פגיעויות ב-Java 1.6.0_20, שהחמורה מביניהן עלולה לאפשר ליישומון Java לא מהימן להפעיל קוד שרירותי מחוץ לסביבת ארגז החול של Java. ביקור בדף אינטרנט שמכיל יישומון Java לא מהימן ובעל מבנה זדוני עלול לגרום להפעלת קוד שרירותי עם ההרשאות של המשתמש הנוכחי. עדכון לגרסה ‎1.6.0_22 של Java פותר בעיות אלה. לרשותכם מידע נוסף באתר האינטרנט של Java, בדף http://www.oracle.com/technetwork/java/javase/releasenotes-136954.html

• Java

  ‏CVE-ID: ‏CVE-2009-3555, ‏CVE-2010-1321

  זמין עבור: Mac OS X v10.5.‏8, Mac OS X Server v10.5.8

  השפעה: מספר פגיעויות ב-Java 1.5.0_24

  תיאור: קיימות ב-Java 1.5.0_24 מספר פגיעויות, שהחמורה מביניהן עלולה לאפשר ליישומון Java להפעיל קוד שרירותי מחוץ לסביבת ארגז החול של Java. ביקור בדף אינטרנט שמכיל יישומון Java לא מהימן ובעל מבנה זדוני עלול לגרום להפעלת קוד שרירותי עם ההרשאות של המשתמש הנוכחי. עדכון לגרסה ‎1.5.0_26 של Java פותר בעיות אלה. לרשותכם מידע נוסף באתר האינטרנט של Java, בדף http://java.sun.com/j2se/1.5.0/ReleaseNotes.html

• Java

  ‏CVE-ID: ‏CVE-2010-1826

  זמין עבור: Mac OS X v10.5.8‏, Mac OS X Server v10.5.8

  השפעה: ייתכן שמשתמש מקומי יוכל להפעיל קוד שרירותי עם ההרשאות של משתמש אחר שמפעיל יישום Java

  תיאור: קיימת בעיית הזרקת פקודה באופן הטיפול של updateSharingD בהודעות Mach RPC. ייתכן שמשתמש מקומי יוכל להפעיל קוד שרירותי עם ההרשאות של משתמש אחר שמפעיל יישום Java. הטיפול בבעיה זו מתבצע על-ידי הטמעת ארכיון Java משותף לפי משתמש. בעיה זו משפיעה על ההטמעה של Java ב-Mac OS X בלבד. תודה ל-Dino Dai Zovi על הדיווח על בעיה זו.

• Java

  ‏CVE-ID: ‏CVE-2010-1827

  זמין עבור: Mac OS X v10.5.8‏, Mac OS X Server v10.5.8

  השפעה: ביקור בדף אינטרנט המכיל תג יישומון Java בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת קוד שרירותי עם ההרשאות של המשתמש הנוכחי

  תיאור: קיימת בעיה של השחתת זיכרון באופן הטיפול של Java בגבולות החלון של היישומון. ביקור בדף אינטרנט המכיל תג יישומון Java בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום, או להפעלת קוד שרירותי עם ההרשאות של המשתמש הנוכחי. בעיה זו מטופלת באמצעות אימות משופר של גבולות החלון. בעיה זו משפיעה על ההטמעה של Java ב-Mac OS X בלבד.