Java for Mac OS X 10.6 Update 3 のセキュリティコンテンツについて説明します。これは、システム環境設定の「ソフトウェア・アップデート」パネル、または サポートダウンロード からダウンロードしてインストールできます。
Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては「Apple 製品のセキュリティ」Web サイトを参照してください。
Apple Product Security PGP キーについては「Apple Product Security PGP キーの使用方法」を参照してください。
CVE ID を使って脆弱性を調べることもできます。
他のセキュリティアップデートについてはこちらの記事 を参照してください。
Java for Mac OS X 10.6 Update 3
-
Java
CVE-ID: CVE-2009-3555、CVE-2010-1321
対象となるバージョン:Mac OS X v10.6.4、Mac OS X Server v10.6.4
影響:Java 1.6.0_20 に複数の脆弱性がある。
説明:Java 1.6.0_20 に複数の脆弱性が存在します。もっとも重大な脆弱性として、信頼されていない Java アプレットによって Java サンドボックス外で任意のコードが実行される可能性があります。悪意を持って作成された信頼されていない Java アプレットが含まれる Web ページにアクセスすると、現在のユーザの権限を使って任意のコードが実行される可能性があります。この問題は、Java バージョン 1.6.0_22 にアップデートすることによって解消されます。詳しくは、Java Web サイト http://www.oracle.com/technetwork/jp/java/javase/releasenotes-136954.html を参照してください。
-
Java
CVE-ID:CVE-2010-1826
対象となるバージョン:Mac OS X v10.6.4、Mac OS X Server v10.6.4
影響:Java アプリケーションを実行する別のユーザの権限を使って、ローカルユーザが任意のコードを実行できる可能性がある。
説明:updateSharingD による Mach RPC メッセージの処理時に、コマンドが挿入される脆弱性が存在します。Java アプリケーションを実行する別のユーザの権限を使って、ローカルユーザが任意のコードを実行できる可能性があります。この問題は、ユーザごとの Java Shared Archive を実装することによって解消されます。この問題は、Mac OS X の Java でのみ発生します。この問題の報告は、Dino Dai Zovi 氏の功績によるものです。
-
Java
CVE-ID:CVE-2010-1827
対象となるバージョン:Mac OS X v10.6.4、Mac OS X Server v10.6.4
影響:悪意を持って作成された Java アプレットタグが含まれる Web ページにアクセスすると、アプリケーションが予期せず終了したり、現在のユーザの権限を使って任意のコードが実行されたりする可能性がある。
説明:Java によるアプレットウインドウの境界の処理時に、メモリ破損の問題が発生する可能性があります。悪意を持って作成された Java アプレットタグが含まれる Web ページにアクセスすると、アプリケーションが予期せず終了したり、現在のユーザの権限を使って任意のコードが実行されたりする可能性があります。この問題は、ウインドウの境界の検証を強化することによって解消されます。この問題は、Mac OS X の Java でのみ発生します。