A Mac OS X 10.5 rendszerhez kiadott 7-es Java-frissítés biztonsági változásjegyzéke
Ez a dokumentum a Mac OS X 10.5 rendszerhez kiadott 7-es Java-frissítés biztonsági változásjegyzékét ismerteti.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.
Mac OS X 10.5 rendszerhez kiadott 7-es Java-frissítés
Java
CVE-azonosító: CVE-2009-3555, CVE-2009-3910, CVE-2010-0082, CVE-2010-0084, CVE-2010-0085, CVE-2010-0087, CVE-2010-0088, CVE-2010-0089, CVE-2010-0090, CVE-2010-0091, CVE-2010-0092, CVE-2010-0093, CVE-2010-0094, CVE-2010-0095, CVE-2010-0837, CVE-2010-0838, CVE-2010-0840, CVE-2010-0841, CVE-2010-0842, CVE-2010-0843, CVE-2010-0844, CVE-2010-0846, CVE-2010-0847, CVE-2010-0848, CVE-2010-0849, CVE-2010-0886, CVE-2010-0887
A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Érintett terület: Különböző biztonsági rések a Java 1.6.0_17 verzióban
Leírás: A Java 1.6.0_17 több biztonsági rést is tartalmaz, amelyek közül a legsúlyosabb lehetővé tette, hogy a nem megbízható Java-kisalkalmazások bizonyos esetekben tetszőleges kódot tudtak végrehajtani a Java-tesztkörnyezeten kívül. Ha a felhasználó felkeresett egy olyan webhelyet, amely ártó céllal létrehozott Java-kisalkalmazást tartalmazott, a kisalkalmazás tetszőleges kódot tudott végrehajtani az aktuális felhasználó jogosultságaival. A hibát az 1.6.0_20 verzióra történő frissítéssel küszöbölték ki. További információkért keresse fel a Sun Java webhelyét: http://www.oracle.com/technetwork/java/javase/releasenotes-136954.html
Java
CVE-azonosító: CVE-2009-3555, CVE-2009-3910, CVE-2010-0082, CVE-2010-0084, CVE-2010-0085, CVE-2010-0087, CVE-2010-0088, CVE-2010-0089, CVE-2010-0091, CVE-2010-0092, CVE-2010-0093, CVE-2010-0094, CVE-2010-0095, CVE-2010-0837, CVE-2010-0838, CVE-2010-0840, CVE-2010-0841, CVE-2010-0842, CVE-2010-0843, CVE-2010-0844, CVE-2010-0846, CVE-2010-0847, CVE-2010-0848, CVE-2010-0849
A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Érintett terület: Különböző biztonsági rések a Java 1.5.0_22 verzióban
Leírás: A Java 1.5.0_22 több biztonsági rést is tartalmaz, amelyek közül a legsúlyosabb lehetővé tette, hogy a nem megbízható Java-kisalkalmazások bizonyos esetekben tetszőleges kódot tudtak végrehajtani a Java-tesztkörnyezeten kívül. Ha a felhasználó felkeresett egy olyan webhelyet, amely ártó céllal létrehozott Java-kisalkalmazást tartalmazott, a kisalkalmazás tetszőleges kódot tudott végrehajtani az aktuális felhasználó jogosultságaival. A hibát a Java 1.5.0_24 verzióra történő frissítésével küszöbölték ki. További információkért keresse fel a Sun Java webhelyét:http://java.sun.com/j2se/1.5.0/ReleaseNotes.html
Java
CVE-azonosító: CVE-2010-0538
A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Érintett terület: Ha a felhasználó felkeresett egy olyan webhelyet, amely ártó céllal létrehozott, nem megbízható Java-kisalkalmazást tartalmazott, az váratlan alkalmazásleálláshoz vezethetett, illetve az aktuális felhasználó jogosultságaival tetszőleges kód végrehajtását tette lehetővé.
Leírás: Határértéket túllépő memóriaelérést okozó probléma merült fel a mediaLibImage-objektumok kezeléses során. Ha a felhasználó felkeresett egy olyan webhelyet, amely ártó céllal létrehozott Java-kisalkalmazást tartalmazott, az váratlan alkalmazásleálláshoz vezethetett, illetve az aktuális felhasználó jogosultságaival tetszőleges kódvégrehajtását tette lehetővé. A probléma elhárításához meg kell akadályozni, hogy a Java-kisalkalmazások a com.sun.medialib.mlib-csomagot használják. Ez a probléma kizárólag a Java által végzett Mac OS X-implementációt érintette. Köszönjük Marc Schoenefeldnek (University of Bamberg) a probléma jelentését.
Java
CVE-azonosító: CVE-2010-0539
A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Érintett terület: Ha a felhasználó felkeresett egy olyan webhelyet, amely ártó céllal létrehozott, nem megbízható Java-kisalkalmazást tartalmazott, az váratlan alkalmazásleálláshoz vezethetett, illetve az aktuális felhasználó jogosultságaival tetszőleges kód végrehajtását tette lehetővé.
Leírás: Aláírási hiba lépett fel az ablakrajz kezelése során. Ha a felhasználó felkeresett egy olyan webhelyet, amely ártó céllal létrehozott Java-kisalkalmazást tartalmazott, az váratlan alkalmazásleálláshoz vezethetett, illetve az aktuális felhasználó jogosultságaival tetszőleges kódvégrehajtását tette lehetővé. A határérték-ellenőrzés javításával kiküszöböltük a problémát. Ez a probléma kizárólag a Java által végzett Mac OS X-implementációt érintette. Köszönjük Jonathan Bringhurstnek (Northrop Grumman) és Jeffrey Czerniaknak a probléma jelentését.