Zawartość związana z zabezpieczeniami w uaktualnieniu Java Update 2 dla systemu Mac OS X 10.5
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w uaktualnieniu Java Update 2 dla systemu Mac OS X 10.5.
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń dla bezpieczeństwa przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Uaktualnienie Java Update 2 dla systemu Mac OS X 10.5
Java
Identyfikator CVE: CVE-2008-3638
Dostępne dla: systemów Mac OS X 10.5.4 i nowszych, Mac OS X Server 10.5.4 i nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu.
Opis: wtyczka Java nie blokuje apletom uruchamiania adresów URL file://. Odwiedzenie witryny zawierającej złośliwie spreparowany aplet Java może pozwolić osobie atakującej zdalnie na uruchomienie lokalnych plików, co może prowadzić do wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez poprawę obsługi adresów URL. Jest to problem specyficzny dla Apple. Problem zgłosili Nitesh Dhanjani i Billy Rios.
Java
Identyfikator CVE: CVE-2008-3637
Dostępne dla: systemów Mac OS X 10.5.4 i nowszych, Mac OS X Server 10.5.4 i nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu.
Opis: w dostawcy kodu Hash-based Message Authentication Code (HMAC) używanego do generowania skrótów MD5 i SHA-1 występuje problem ze sprawdzaniem błędów prowadzący do użycia niezainicjowanej zmiennej. Odwiedzenie witryny zawierającej złośliwie spreparowany aplet Java może doprowadzić do wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem, poprawiając obsługę błędów. Jest to problem specyficzny dla Apple. Problem zgłosił Radim Marek.
Java
Identyfikator CVE: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114
Dostępne dla: systemów Mac OS X 10.5.4 i nowszych, Mac OS X Server 10.5.4 i nowszych
Zagrożenie: wykryto szereg luk w zabezpieczeniach oprogramowania Java 1.4.2_16.
Opis: w oprogramowaniu Java 1.4.2_16 występuje wiele luk w zabezpieczeniach, z których najpoważniejsza może pozwolić niezaufanym apletom Java na uzyskiwanie podwyższonego poziomu uprawnień. Odwiedzenie strony internetowej zawierającej złośliwie spreparowany aplet Java może doprowadzić do wykonania dowolnego kodu. Te problemy można rozwiązać, uaktualniając oprogramowanie Java 1.4 do wersji 1.4.2_18. Więcej informacji na ten temat można znaleźć w witrynie oprogramowania Java pod adresem http://java.sun.com/j2se/1.4.2/ReleaseNotes.html
Java
Identyfikator CVE: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Dostępne dla: systemów Mac OS X 10.5.4 i nowszych, Mac OS X Server 10.5.4 i nowszych
Zagrożenie: wykryto szereg luk w zabezpieczeniach oprogramowania Java 1.5.0_13.
Opis: w oprogramowaniu Java 1.5.0_13 występuje wiele luk w zabezpieczeniach, z których najpoważniejsza może pozwolić niezaufanym apletom Java na uzyskiwanie podwyższonego poziomu uprawnień. Odwiedzenie strony internetowej zawierającej złośliwie spreparowany aplet Java może doprowadzić do wykonania dowolnego kodu. Te problemy można rozwiązać, uaktualniając oprogramowanie Java 1.5 do wersji 1.5.0_16. Więcej informacji na ten temat można znaleźć w witrynie internetowej oprogramowania Java pod adresem http://java.sun.com/j2se/1.5.0/ReleaseNotes.html
Java
Identyfikator CVE: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Dostępne dla: systemów Mac OS X 10.5.4 i nowszych, Mac OS X Server 10.5.4 i nowszych
Zagrożenie: wykryto szereg luk w zabezpieczeniach oprogramowania Java 1.6.0_05.
Opis: w oprogramowaniu Java 1.6.0_05 występuje wiele luk w zabezpieczeniach, z których najpoważniejsza może pozwolić niezaufanym apletom Java na uzyskiwanie podwyższonego poziomu uprawnień. Odwiedzenie strony internetowej zawierającej złośliwie spreparowany aplet Java może doprowadzić do wykonania dowolnego kodu. Te problemy można rozwiązać, uaktualniając oprogramowanie Java 1.6 do wersji 1.6.0_07. Więcej informacji na ten temat można znaleźć w witrynie internetowej oprogramowania Java pod adresem http://java.sun.com/javase/6/webnotes/ReleaseNotes.html
Java
Dostępne dla: systemów Mac OS X 10.5.4 i nowszych, Mac OS X Server 10.5.4 i nowszych
Zagrożenie: ograniczona zdolność aplikacji do korzystania z silniejszych kluczy kryptograficznych.
Opis: domyślne zasady jurysdykcji rozpowszechniane z oprogramowaniem Java 1.5 w systemie Mac OS X 10.5 ograniczają maksymalną siłę kluczy kryptograficznych obsługiwanych w rozszerzeniu Java Cryptography Extension (JCE) do 128 bitów. To uaktualnienie rozwiązuje ten problem, zmieniając domyślne zasady jurysdykcji na wersję z nieograniczoną siłą. Problem zgłosił Bruno Harbulot z University of Manchester.
Ważne: wzmianka o witrynach internetowych i produktach osób trzecich ma charakter wyłącznie informacyjny i nie stanowi rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności w związku z wyborem, działaniem lub korzystaniem z informacji lub produktów znalezionych w witrynach internetowych osób trzecich. Apple podaje je tylko jako udogodnienie dla naszych użytkowników. Firma Apple nie przetestowała informacji znalezionych w tych witrynach i nie składa żadnych oświadczeń dotyczących ich dokładności lub wiarygodności. Korzystanie z jakichkolwiek informacji lub produktów znalezionych w Internecie wiąże się z ryzykiem, a Apple nie ponosi żadnej odpowiedzialności w tym zakresie. Należy pamiętać, że witryna osoby trzeciej jest niezależna od Apple i że Apple nie ma kontroli nad zawartością tej witryny. W celu uzyskania dodatkowych informacji należy skontaktować się ze sprzedawcą.