A Mac OS X 10.5 rendszerhez kiadott 2-es Java-frissítés biztonsági változásjegyzéke

Ez a dokumentum a Mac OS X 10.5 rendszerhez kiadott 2-es Java-frissítés biztonsági változásjegyzékét ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információt.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Az egyéb biztonsági frissítésekről az „Apple biztonsági frissítései” című cikkben olvashat.

A Mac OS X 10.5 rendszerhez kiadott 2-es Java-frissítés

• Java

  CVE-azonosító: CVE-2008-3638

  A következőkhöz érhető el: Mac OS X 10.5.4 és újabb verziók, Mac OS X Server 10.5.4 és újabb verziók

  Érintett terület: Egy ártó szándékkal létrehozott webhely megnyitása tetszőleges programkód végrehajtásához vezethetett.

  Leírás: A Java-bővítmény nem gátolta meg a kisalkalmazásokat a file:// típusú URL-címek megnyitásában. Egy ártó szándékkal létrehozott Java-kisalkalmazást tartalmazó webhely megnyitása lehetővé tehette egy távoli támadó számára, hogy helyi fájlokat nyisson meg, ami így tetszőleges programkód végrehajtásához vezethetett. A frissítés az URL-címek hatékonyabb kezelésével hárítja el a problémát. Ez a probléma csak az Apple-termékeket érinti. A probléma jelentéséért köszönet jár Nitesh Dhanjaninak és Billy Riosnak.

• Java

  CVE-azonosító: CVE-2008-3637

  A következőkhöz érhető el: Mac OS X 10.5.4 és újabb verziók, Mac OS X Server 10.5.4 és újabb verziók

  Érintett terület: Egy ártó szándékkal létrehozott webhely megnyitása tetszőleges programkód végrehajtásához vezethetett.

  Leírás: Egy, a hibaellenőrzésben fennálló probléma nem inicializált változó használatát eredményezte az MD5 és SHA-1 kivonatok létrehozására használt HMAC-szolgáltatóban. Egy ártó szándékkal létrehozott Java-kisalkalmazást tartalmazó webhely megnyitása tetszőleges programkód végrehajtásához vezethetett. A frissítés hatékonyabb hibakezeléssel hárítja el a problémát. Ez a probléma csak az Apple-termékeket érinti. A probléma jelentéséért köszönet jár Radim Mareknek.

• Java

  CVE-azonosító: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114

  A következőkhöz érhető el: Mac OS X 10.5.4 és újabb verziók, Mac OS X Server 10.5.4 és újabb verziók

  Érintett terület: Különböző biztonsági rések voltak a Java 1.4.2_16 verzióban.

  Leírás: A Java 1.4.2_16 több biztonsági rést is tartalmazott, amelyek közül a legsúlyosabb lehetővé tette, hogy nem megbízható Java-kisalkalmazások bizonyos esetekben magasabb szintű jogosultságokat szerezzenek. Egy ártó szándékkal létrehozott Java-kisalkalmazást tartalmazó weboldal megnyitása tetszőleges programkód végrehajtásához vezethet. A hibát a Java 1.4 Java 1.4.2_18 verzióra történő frissítésével küszöbölték ki. További információkért keresse fel a Sun Java webhelyét:http://java.sun.com/j2se/1.4.2/ReleaseNotes.html

• Java

  CVE-azonosító: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

  A következőkhöz érhető el: Mac OS X 10.5.4 és újabb verziók, Mac OS X Server 10.5.4 és újabb verziók

  Érintett terület: Különböző biztonsági rések voltak a Java 1.5.0_13 verzióban.

  Leírás: A Java 1.5.0_13 több biztonsági rést is tartalmazott, amelyek közül a legsúlyosabb lehetővé tette, hogy nem megbízható Java-kisalkalmazások bizonyos esetekben magasabb szintű jogosultságokat szerezzenek. Egy ártó szándékkal létrehozott Java-kisalkalmazást tartalmazó weboldal megnyitása tetszőleges programkód végrehajtásához vezethet. A hibát a Java 1.5 Java 1.5.0_16 verzióra történő frissítésével küszöbölték ki. További információkért keresse fel a Sun Java webhelyét:http://java.sun.com/j2se/1.5.0/ReleaseNotes.html

• Java

  CVE-azonosító: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

  A következőkhöz érhető el: Mac OS X 10.5.4 és újabb verziók, Mac OS X Server 10.5.4 és újabb verziók

  Érintett terület: Különböző biztonsági rések voltak a Java 1.6.0_05 verzióban.

  Leírás: A Java 1.6.0_05 több biztonsági rést is tartalmazott, amelyek közül a legsúlyosabb lehetővé tette, hogy nem megbízható Java-kisalkalmazások bizonyos esetekben magasabb szintű jogosultságokat szerezzenek. Egy ártó szándékkal létrehozott Java-kisalkalmazást tartalmazó weboldal megnyitása tetszőleges programkód végrehajtásához vezethet. A hibát a Java 1.6 Java 1.6.0_07 verzióra történő frissítésével küszöbölték ki. További információkért keresse fel a Sun Java webhelyét:http://java.sun.com/javase/6/webnotes/ReleaseNotes.html

• Java

  A következőkhöz érhető el: Mac OS X 10.5.4 és újabb verziók, Mac OS X Server 10.5.4 és újabb verziók

  Érintett terület: Az alkalmazások csak korlátozottan használhattak biztonságosabb kriptográfiai kulcsokat.

  Leírás: A Java 1.5 Mac OS X 10.5-ön elérhető alapértelmezett hatókörszabályzata 128 bitre korlátozta a Java Cryptography Extension (JCE) által támogatott kriptográfiai kulcsok biztonságát. A frissítés az alapértelmezett hatókörszabályzatot korlátlan biztonságra módosítja, így hárítja el a problémát. Köszönjük Bruno Harbulotnak (University of Manchester), hogy bejelentette a problémát.