Zawartość związana z zabezpieczeniami w uaktualnieniu Java Update 2 dla systemu Mac OS X 10.5

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w uaktualnieniu Java Update 2 dla systemu Mac OS X 10.5.

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń dla bezpieczeństwa przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Uaktualnienie Java Update 2 dla systemu Mac OS X 10.5

• Java

  Identyfikator CVE: CVE-2008-3638

  Dostępne dla: systemów Mac OS X 10.5.4 i nowszych, Mac OS X Server 10.5.4 i nowszych

  Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu.

  Opis: wtyczka Java nie blokuje apletom uruchamiania adresów URL file://. Odwiedzenie witryny zawierającej złośliwie spreparowany aplet Java może pozwolić osobie atakującej zdalnie na uruchomienie lokalnych plików, co może prowadzić do wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez poprawę obsługi adresów URL. Jest to problem specyficzny dla Apple. Problem zgłosili Nitesh Dhanjani i Billy Rios.

• Java

  Identyfikator CVE: CVE-2008-3637

  Dostępne dla: systemów Mac OS X 10.5.4 i nowszych, Mac OS X Server 10.5.4 i nowszych

  Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu.

  Opis: w dostawcy kodu Hash-based Message Authentication Code (HMAC) używanego do generowania skrótów MD5 i SHA-1 występuje problem ze sprawdzaniem błędów prowadzący do użycia niezainicjowanej zmiennej. Odwiedzenie witryny zawierającej złośliwie spreparowany aplet Java może doprowadzić do wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem, poprawiając obsługę błędów. Jest to problem specyficzny dla Apple. Problem zgłosił Radim Marek.

• Java

  Identyfikator CVE: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114

  Dostępne dla: systemów Mac OS X 10.5.4 i nowszych, Mac OS X Server 10.5.4 i nowszych

  Zagrożenie: wykryto szereg luk w zabezpieczeniach oprogramowania Java 1.4.2_16.

  Opis: w oprogramowaniu Java 1.4.2_16 występuje wiele luk w zabezpieczeniach, z których najpoważniejsza może pozwolić niezaufanym apletom Java na uzyskiwanie podwyższonego poziomu uprawnień. Odwiedzenie strony internetowej zawierającej złośliwie spreparowany aplet Java może doprowadzić do wykonania dowolnego kodu. Te problemy można rozwiązać, uaktualniając oprogramowanie Java 1.4 do wersji 1.4.2_18. Więcej informacji na ten temat można znaleźć w witrynie oprogramowania Java pod adresem http://java.sun.com/j2se/1.4.2/ReleaseNotes.html

• Java

  Identyfikator CVE: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

  Dostępne dla: systemów Mac OS X 10.5.4 i nowszych, Mac OS X Server 10.5.4 i nowszych

  Zagrożenie: wykryto szereg luk w zabezpieczeniach oprogramowania Java 1.5.0_13.

  Opis: w oprogramowaniu Java 1.5.0_13 występuje wiele luk w zabezpieczeniach, z których najpoważniejsza może pozwolić niezaufanym apletom Java na uzyskiwanie podwyższonego poziomu uprawnień. Odwiedzenie strony internetowej zawierającej złośliwie spreparowany aplet Java może doprowadzić do wykonania dowolnego kodu. Te problemy można rozwiązać, uaktualniając oprogramowanie Java 1.5 do wersji 1.5.0_16. Więcej informacji na ten temat można znaleźć w witrynie internetowej oprogramowania Java pod adresem http://java.sun.com/j2se/1.5.0/ReleaseNotes.html

• Java

  Identyfikator CVE: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

  Dostępne dla: systemów Mac OS X 10.5.4 i nowszych, Mac OS X Server 10.5.4 i nowszych

  Zagrożenie: wykryto szereg luk w zabezpieczeniach oprogramowania Java 1.6.0_05.

  Opis: w oprogramowaniu Java 1.6.0_05 występuje wiele luk w zabezpieczeniach, z których najpoważniejsza może pozwolić niezaufanym apletom Java na uzyskiwanie podwyższonego poziomu uprawnień. Odwiedzenie strony internetowej zawierającej złośliwie spreparowany aplet Java może doprowadzić do wykonania dowolnego kodu. Te problemy można rozwiązać, uaktualniając oprogramowanie Java 1.6 do wersji 1.6.0_07. Więcej informacji na ten temat można znaleźć w witrynie internetowej oprogramowania Java pod adresem http://java.sun.com/javase/6/webnotes/ReleaseNotes.html

• Java

  Dostępne dla: systemów Mac OS X 10.5.4 i nowszych, Mac OS X Server 10.5.4 i nowszych

  Zagrożenie: ograniczona zdolność aplikacji do korzystania z silniejszych kluczy kryptograficznych.

  Opis: domyślne zasady jurysdykcji rozpowszechniane z oprogramowaniem Java 1.5 w systemie Mac OS X 10.5 ograniczają maksymalną siłę kluczy kryptograficznych obsługiwanych w rozszerzeniu Java Cryptography Extension (JCE) do 128 bitów. To uaktualnienie rozwiązuje ten problem, zmieniając domyślne zasady jurysdykcji na wersję z nieograniczoną siłą. Problem zgłosił Bruno Harbulot z University of Manchester.