Сведения о проблемах системы безопасности, устраняемых обновлением Java для Mac OS X 10.4 (обновление 7)

В этом документе описываются проблемы системы безопасности, устраняемые обновлением Java для Mac OS X 10.4 (обновление 7).

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Java для Mac OS X 10.4 (обновление 7)

• Java

  Идентификатор CVE: CVE-2008-3637

  Целевые продукты: Mac OS X 10.4.11, Mac OS X Server 10.4.11

  Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.

  Описание. В поставщике кодов аутентификации сообщений на основе хэшей (Hash-based Message Authentication Code, HMAC), используемом для генерации хэшей MD5 и SHA-1, возникает проблема проверки ошибок, которая приводит к использованию неинициализированной переменной. Посещение веб-сайта, содержащего вредоносный Java-апплет, может привести к выполнению произвольного кода. Данное обновление устраняет проблему посредством улучшения обработки ошибок. Это проблема, специфичная для Apple. Благодарим Radim Marek за сообщение о проблеме.

• Java

  Идентификатор CVE: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114

  Целевые продукты: Mac OS X 10.4.11, Mac OS X Server 10.4.11

  Воздействие. Множественные уязвимости в Java 1.4.2_16.

  Описание. В Java 1.4.2_16 имеется множество уязвимостей, наиболее серьезная из которых может позволить ненадежному Java-апплету получить расширенные привилегии. Посещение веб-страницы, содержащей вредоносный Java-апплет, может привести к выполнению произвольного кода. Эти проблемы решены путем обновления Java 1.4 до версии 1.4.2_18. Дополнительная информация доступна на веб-сайте Sun Java по адресу http://java.sun.com/j2se/1.4.2/ReleaseNotes.html

• Java

  Идентификатор CVE: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

  Целевые продукты: Mac OS X 10.4.11, Mac OS X Server 10.4.11

  Воздействие. Множественные уязвимости в Java 1.5.0_13.

  Описание. В Java 1.5.0_13 имеется множество уязвимостей, наиболее серьезная из которых может позволить ненадежному Java-апплету получить расширенные привилегии. Посещение веб-страницы, содержащей вредоносный Java-апплет, может привести к выполнению произвольного кода. Эти проблемы решены путем обновления Java 1.5 до версии 1.5.0_16. Дополнительная информация доступна на веб-сайте Sun Java по адресу http://java.sun.com/j2se/1.5.0/ReleaseNotes.html