Obsah zabezpečenia v 7. aktualizácii prostredia Java pre Mac OS X 10.4

V tomto dokumente sa opisuje obsah zabezpečenia v 7. aktualizácii prostredia Java pre Mac OS X 10.4.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia spoločnosti Apple.

7. aktualizácia prostredia Java pre Mac OS X 10.4

• Java

  CVE-ID: CVE-2008-3637

  Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11

  Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

  Popis: V poskytovateľovi HMAC (Hash-based Message Authentication Code), ktorý sa používa na generovanie hashov MD5 a SHA-1, dochádza k problému s kontrolou chýb, ktorý vedie k použitiu neinicializovanej premennej. Návšteva webovej stránky so škodlivým appletom Java môže viesť k spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšením spracovania chýb. Ide o problém špecifický pre spoločnosť Apple. Poďakovanie za nahlásenie tohto problému si zaslúži Radim Marek.

• Java

  CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114

  Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11

  Dopad: Viacero nedostatočne zabezpečených miest v prostredí Java 1.4.2_16

  Popis: V prostredí Java 1.4.2_16 existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu umožniť nedôveryhodnému appletu Java získať oprávnenia vyššej úrovne. Návšteva webovej stránky so škodlivým appletom Java môže viesť k spusteniu ľubovoľného kódu. Tieto problémy boli vyriešené aktualizáciou prostredia Java 1.4 na verziu 1.4.2_18. Ďalšie informácie sú k dispozícii na webovej stránke Sun Java na adrese http://java.sun.com/j2se/1.4.2/ReleaseNotes.html

• Java

  CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

  Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11

  Dopad: Viacero nedostatočne zabezpečených miest v prostredí Java 1.5.0_13

  Popis: V prostredí Java 1.5.0_13 existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu umožniť nedôveryhodnému appletu Java získať oprávnenia vyššej úrovne. Návšteva webovej stránky so škodlivým appletom Java môže viesť k spusteniu ľubovoľného kódu. Tieto problémy boli vyriešené aktualizáciou prostredia Java 1.5 na verziu 1.5.0_16. Ďalšie informácie sú k dispozícii na webovej stránke Sun Java na adrese http://java.sun.com/j2se/1.5.0/ReleaseNotes.html