Om sikkerhetsinnholdet til Java for Mac OS X 10.5-oppdatering 2

Dette dokumentet beskriver sikkerhetsinnholdet i Java for Mac OS X 10.5-oppdatering 2

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

Mer informasjon finnes her: Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple-sikkerhetsoppdateringer.

Java for Mac OS X 10.5-oppdatering 2

  • Java

    CVE-ID: CVE-2008-3638

    Tilgjengelig for: Mac OS X v10.5.4 og nyere, Mac OS X Server v10.5.4 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til kjøring av vilkårlig kode

    Beskrivelse: Programtillegget for Java blokkerer ikke applets fra å åpne file://-nettadresser. Besøk på et nettsted som inneholder en skadelig Java-applet kan gjøre en ekstern angriper i stand til å åpne lokale filer, noe som føre til kjøring av vilkårlig kode. Denne oppdateringen løser problemet ved forbedret håndtering av nettadresser. Dette er en problem spesifikt for Apple. Takk til Nitesh Dhanjani og Billy Rios, som rapporterte dette problemet.

  • Java

    CVE-ID: CVE-2008-3637

    Tilgjengelig for: Mac OS X v10.5.4 og nyere, Mac OS X Server v10.5.4 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til kjøring av vilkårlig kode

    Beskrivelse: Det er et problem med feilkontroll som fører til bruk av uinitialiserte variabler i HMAC-leverandøren (Hash-based Message Authenticaiton Code) som brukes for å generere MD5- og SHA-1-hasher. Besøk på et nettsted som inneholder en skadelig Java-applet kan føre til kjøring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret feilhåndtering. Dette er en problem spesifikt for Apple. Takk til Radim Marek, som rapporterte dette problemet.

  • Java

    CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114

    Tilgjengelig for: Mac OS X v10.5.4 og nyere, Mac OS X Server v10.5.4 og nyere

    Virkning: Flere svakheter i Java 1.4.2_16

    Beskrivelse: Det er flere svakheter i Java 1.4.2_16. Den mest alvorlige svakheten kan gi utvidede rettigheter til upålitelige Java-applets. Besøk på en nettside som inneholder en skadelig Java-applet kan føre til kjøring av vilkårlig kode. Problemene løses ved å oppdatere Java 1.4 til versjon 1.4.2_18. Mer informasjon er tilgjengelig via Sun Java-nettstedet på http://java.sun.com/j2se/1.4.2/ReleaseNotes.html

  • Java

    CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

    Tilgjengelig for: Mac OS X v10.5.4 og nyere, Mac OS X Server v10.5.4 og nyere

    Virkning: Det er flere svakheter i Java 1.5.0_13

    Beskrivelse: Det er flere svakheter i Java 1.5.0_13. Den mest alvorlige svakheten kan gi utvidede rettigheter til upålitelige Java-applets. Besøk på en nettside som inneholder en skadelig Java-applet kan føre til kjøring av vilkårlig kode. Problemene løses ved å oppdatere Java 1.5 til versjon 1.5.0_16. Mer informasjon er tilgjengelig via Sun Java-nettstedet på http://java.sun.com/j2se/1.5.0/ReleaseNotes.html

  • Java

    CVE-ID: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

    Tilgjengelig for: Mac OS X v10.5.4 og nyere, Mac OS X Server v10.5.4 og nyere

    Virkning: Flere sårbarheter i Java 1.6.0_05

    Beskrivelse: Flere sårbarheter finnes i Java 1.6.0_05. Den mest alvorlige svakheten kan gi utvidede rettigheter til upålitelige Java-applets. Besøk på en nettside som inneholder en skadelig Java-applet kan føre til kjøring av vilkårlig kode. Problemene løses ved å oppdatere Java 1.6 til versjon 1.6.0_07. Mer informasjon er tilgjengelig via Sun Java-nettstedet på http://java.sun.com/javase/6/webnotes/ReleaseNotes.html

  • Java

    Tilgjengelig for: Mac OS X v10.5.4 og nyere, Mac OS X Server v10.5.4 og nyere

    Virkning: Programmer har begrenset mulighet til å bruke sterkere kryptografinøkler

    Beskrivelse: Den standard jurisdiksjonspolicyen distribuert med Java 1.5 på Mac OS X v10.5 begrenser maksstyrken for kryptografinøkler som støttes i JCE (Java Cryptography Extension) til 128 bit. Denne oppdateringen løser problemet ved å endre den standard jurisdiksjonspolicyen til versjonen med ubegrenset styrke. Takk til Bruno Harbulot fra University of Manchester, som rapporterte dette problemet.

Viktig: Nevnte tredjepartsnettsteder og -produkter er bare for informasjonsformål og utgjør ingen godkjenning eller anbefaling. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av informasjon eller produkter som finnes på tredjepartsnettsteder. Apple oppgir denne informasjonen kun som en praktisk tjeneste for brukerne våre. Apple har ikke testet informasjonen som finnes på disse nettstedene, og gir ingen garanti angående nøyaktigheten eller påliteligheten. Det er alltid risiko involvert når det gjelder bruk av informasjon eller produkter som finnes på internett, og Apple påtar seg ikke noe ansvar i forbindelse med dette. Vær oppmerksom på at tredjepartsnettsteder er uavhengig av Apple, og at Apple ikke har kontroll over innholdet på disse nettstedene. Vennligst kontakt leverandøren for ytterligere informasjon.

Publiseringsdato: