Obsah zabezpečenia v 2. aktualizácii prostredia Java pre Mac OS X 10.5

V tomto dokumente sa opisuje obsah zabezpečenia v 2. aktualizácii prostredia Java pre Mac OS X 10.5.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia spoločnosti Apple.

2. aktualizácia prostredia Java pre Mac OS X 10.5

• Java

  CVE-ID: CVE-2008-3638

  Dostupné pre: Mac OS X 10.5.4 a novší, Mac OS X Server 10.5.4 a novší

  Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

  Popis: Plugin Java nebráni appletom spúšťať URL adresy file://. Návšteva webovej stránky so škodlivým appletom Java môže umožniť vzdialenému útočníkovi spustiť lokálne súbory, čo môže viesť k spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšením spracovania URL adries. Ide o problém špecifický pre spoločnosť Apple. Poďakovanie za nahlásenie tohto problému si zaslúžia Nitesh Dhanjani a Billy Rios.

• Java

  CVE-ID: CVE-2008-3637

  Dostupné pre: Mac OS X 10.5.4 a novší, Mac OS X Server 10.5.4 a novší

  Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

  Popis: V poskytovateľovi HMAC (Hash-based Message Authentication Code), ktorý sa používa na generovanie hashov MD5 a SHA-1, dochádza k problému s kontrolou chýb, ktorý vedie k použitiu neinicializovanej premennej. Návšteva webovej stránky so škodlivým appletom Java môže viesť k spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšením spracovania chýb. Ide o problém špecifický pre spoločnosť Apple. Poďakovanie za nahlásenie tohto problému si zaslúži Radim Marek.

• Java

  CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114

  Dostupné pre: Mac OS X 10.5.4 a novší, Mac OS X Server 10.5.4 a novší

  Dopad: Viacero nedostatočne zabezpečených miest v prostredí Java 1.4.2_16

  Popis: V prostredí Java 1.4.2_16 existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu umožniť nedôveryhodnému appletu Java získať oprávnenia vyššej úrovne. Návšteva webovej stránky so škodlivým appletom Java môže viesť k spusteniu ľubovoľného kódu. Tieto problémy boli vyriešené aktualizáciou prostredia Java 1.4 na verziu 1.4.2_18. Ďalšie informácie sú k dispozícii na webovej stránke Sun Java na adrese http://java.sun.com/j2se/1.4.2/ReleaseNotes.html

• Java

  CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

  Dostupné pre: Mac OS X 10.5.4 a novší, Mac OS X Server 10.5.4 a novší

  Dopad: Viacero nedostatočne zabezpečených miest v prostredí Java 1.5.0_13

  Popis: V prostredí Java 1.5.0_13 existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu umožniť nedôveryhodnému appletu Java získať oprávnenia vyššej úrovne. Návšteva webovej stránky so škodlivým appletom Java môže viesť k spusteniu ľubovoľného kódu. Tieto problémy boli vyriešené aktualizáciou prostredia Java 1.5 na verziu 1.5.0_16. Ďalšie informácie sú k dispozícii na webovej stránke Sun Java na adrese http://java.sun.com/j2se/1.5.0/ReleaseNotes.html

• Java

  CVE-ID: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

  Dostupné pre: Mac OS X 10.5.4 a novší, Mac OS X Server 10.5.4 a novší

  Dopad: Viacero nedostatočne zabezpečených miest v prostredí Java 1.6.0_05

  Popis: V prostredí Java 1.6.0_05 existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu umožniť nedôveryhodnému appletu Java získať oprávnenia vyššej úrovne. Návšteva webovej stránky so škodlivým appletom Java môže viesť k spusteniu ľubovoľného kódu. Tieto problémy boli vyriešené aktualizáciou prostredia Java 1.6 na verziu 1.6.0_07. Ďalšie informácie sú k dispozícii na webovej stránke Sun Java na adrese http://java.sun.com/javase/6/webnotes/ReleaseNotes.html

• Java

  Dostupné pre: Mac OS X 10.5.4 a novší, Mac OS X Server 10.5.4 a novší

  Dopad: Obmedzená schopnosť aplikácií používať silnejšie kryptografické kľúče

  Popis: Predvolené pravidlo jurisdikcie distribuované s prostredím Java 1.5 pre Mac OS X 10.5 obmedzuje maximálnu silu kryptografických kľúčov podporovaných v rámci rozšírenia JCE (Java Cryptography Extension) na 128 bitov. Táto aktualizácia rieši tento problém zmenou predvoleného pravidla jurisdikcie na verziu s neobmedzenou silou. Poďakovanie za nahlásenie tohto problému si zaslúži Bruno Harbulot z Manchesterskej univerzity.