Acerca dos conteúdos de segurança da Atualização 2 do Java para Mac OS X 10.5

Este documento descreve os conteúdos de segurança da Atualização 2 do Java para Mac OS X 10.5.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter mais informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".

Sempre que possível, são utilizados CVE ID para designar as vulnerabilidades e disponibilizar mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".

Atualização 2 do Java para Mac OS X 10.5

  • Java

    ID CVE: CVE-2008-3638

    Disponível para: Mac OS X v10.5.4 e posterior, Mac OS X Server v10.5.4 e posterior

    Impacto: visitar um site criado com intuito malicioso pode provocar a execução de código arbitrário

    Descrição: o plug-in Java não impede que os applets iniciem URL ficheiro://. Visitar um site que contenha um applet Java criado com intuito malicioso pode permitir que um atacante remoto inicie ficheiros locais, o que pode provocar a execução de código arbitrário. Esta atualização resolve o problema através do processamento melhorado dos URL. Este é um problema específico da Apple. Os nossos agradecimentos a Nitesh Dhanjani e Billy Rios por terem comunicado este problema.

  • Java

    ID CVE : CVE-2008-3637

    Disponível para: Mac OS X v10.5.4 e posterior, Mac OS X Server v10.5.4 e posterior

    Impacto: visitar um site criado com intuito malicioso pode provocar a execução de código arbitrário

    Descrição: existe um problema de verificação de erros que leva à utilização de uma variável não inicializada no fornecedor HMAC (Código de Autenticação de Mensagens baseado em Hash) utilizado para gerar hashes MD5 e SHA-1. Visitar um site que contenha um applet Java criado com intuito malicioso pode provocar a execução de código arbitrário. Esta atualização resolve o problema através do processamento melhorado de erros. Este é um problema específico da Apple. Os nossos agradecimentos a Radim Marek por ter comunicado este problema.

  • Java

    ID CVE: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114

    Disponível para: Mac OS X v10.5.4 e posterior, Mac OS X Server v10.5.4 e posterior

    Impacto: várias vulnerabilidades no Java 1.4.2_16

    Descrição: existem várias vulnerabilidades no Java 1.4.2_16, sendo que a mais grave pode permitir que applets Java não fidedignos obtenham privilégios elevados. Visitar uma página Web que contenha um applet Java criado com intuito malicioso pode provocar a execução de código arbitrário. Estes problemas podem ser resolvidos através da atualização do Java 1.4 para a versão 1.4.2_18. Estão disponíveis mais informações no site do Sun Java em http://java.sun.com/j2se/1.4.2/ReleaseNotes.html

  • Java

    ID CVE: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

    Disponível para: Mac OS X v10.5.4 e posterior, Mac OS X Server v10.5.4 e posterior

    Impacto: existem várias vulnerabilidades no Java 1.5.0_13

    Descrição: existem várias vulnerabilidades no Java 1.5.0_13, sendo que a mais grave pode permitir que applets Java não fidedignos obtenham privilégios elevados. Visitar uma página Web que contenha um applet Java criado com intuito malicioso pode provocar a execução de código arbitrário. Estes problemas podem ser resolvidos através da atualização do Java 1.5 para a versão 1.5.0_16. Estão disponíveis mais informações no site do Sun Java em http://java.sun.com/j2se/1.5.0/ReleaseNotes.html

  • Java

    ID CVE: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

    Disponível para: Mac OS X v10.5.4 e posterior, Mac OS X Server v10.5.4 e posterior

    Impacto: várias vulnerabilidades no Java 1.6.0_05

    Descrição: existem várias vulnerabilidades no Java 1.6.0_05, sendo que a mais grave pode permitir que applets Java não fidedignos obtenham privilégios elevados. Visitar uma página Web que contenha um applet Java criado com intuito malicioso pode provocar a execução de código arbitrário. Estes problemas podem ser resolvidos através da atualização do Java 1.6 para a versão 1.6.0_07. Estão disponíveis mais informações no site do Sun Java em http://java.sun.com/javase/6/webnotes/ReleaseNotes.html

  • Java

    Disponível para: Mac OS X v10.5.4 e posterior, Mac OS X Server v10.5.4 e posterior

    Impacto: capacidade limitada das aplicações para utilizarem chaves criptográficas mais fortes

    Descrição: a política de jurisdição predefinida distribuída com o Java 1.5 no Mac OS X v10.5 restringe a força máxima das chaves criptográficas suportadas na Java Cryptography Extension (JCE) a 128 bits. Esta atualização resolve o problema através da alteração da política de jurisdição predefinida para a versão de força ilimitada. Os nossos agradecimentos a Bruno Harbulot da Universidade de Manchester por comunicar este problema.

Importante: a menção de sites e de produtos de terceiros destina-se apenas a efeitos de informação, e não constitui uma recomendação nem aprovação. A Apple não assume qualquer responsabilidade relativamente à seleção, desempenho ou utilização de informações ou produtos encontrados em sites de terceiros. A Apple fornece estas informações apenas como comodidade para os nossos utilizadores. A Apple não testou as informações encontradas nestes sites e não garante a respetiva precisão ou fiabilidade. Existem riscos inerentes à utilização de quaisquer informações ou produtos encontrados na Internet e a Apple não assume qualquer responsabilidade a este respeito. Tenha em atenção que um site de terceiros é independente da Apple e que a Apple não tem controlo sobre os conteúdos do respetivo site. Contacte o fornecedor para obter informações adicionais.

Data de publicação: