Obsah zabezpečenia v 2. aktualizácii prostredia Java pre Mac OS X 10.5
V tomto dokumente sa opisuje obsah zabezpečenia v 2. aktualizácii prostredia Java pre Mac OS X 10.5.
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia spoločnosti Apple.
2. aktualizácia prostredia Java pre Mac OS X 10.5
Java
CVE-ID: CVE-2008-3638
Dostupné pre: Mac OS X 10.5.4 a novší, Mac OS X Server 10.5.4 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Plugin Java nebráni appletom spúšťať URL adresy file://. Návšteva webovej stránky so škodlivým appletom Java môže umožniť vzdialenému útočníkovi spustiť lokálne súbory, čo môže viesť k spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšením spracovania URL adries. Ide o problém špecifický pre spoločnosť Apple. Poďakovanie za nahlásenie tohto problému si zaslúžia Nitesh Dhanjani a Billy Rios.
Java
CVE-ID: CVE-2008-3637
Dostupné pre: Mac OS X 10.5.4 a novší, Mac OS X Server 10.5.4 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: V poskytovateľovi HMAC (Hash-based Message Authentication Code), ktorý sa používa na generovanie hashov MD5 a SHA-1, dochádza k problému s kontrolou chýb, ktorý vedie k použitiu neinicializovanej premennej. Návšteva webovej stránky so škodlivým appletom Java môže viesť k spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšením spracovania chýb. Ide o problém špecifický pre spoločnosť Apple. Poďakovanie za nahlásenie tohto problému si zaslúži Radim Marek.
Java
CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114
Dostupné pre: Mac OS X 10.5.4 a novší, Mac OS X Server 10.5.4 a novší
Dopad: Viacero nedostatočne zabezpečených miest v prostredí Java 1.4.2_16
Popis: V prostredí Java 1.4.2_16 existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu umožniť nedôveryhodnému appletu Java získať oprávnenia vyššej úrovne. Návšteva webovej stránky so škodlivým appletom Java môže viesť k spusteniu ľubovoľného kódu. Tieto problémy boli vyriešené aktualizáciou prostredia Java 1.4 na verziu 1.4.2_18. Ďalšie informácie sú k dispozícii na webovej stránke Sun Java na adrese http://java.sun.com/j2se/1.4.2/ReleaseNotes.html
Java
CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Dostupné pre: Mac OS X 10.5.4 a novší, Mac OS X Server 10.5.4 a novší
Dopad: Viacero nedostatočne zabezpečených miest v prostredí Java 1.5.0_13
Popis: V prostredí Java 1.5.0_13 existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu umožniť nedôveryhodnému appletu Java získať oprávnenia vyššej úrovne. Návšteva webovej stránky so škodlivým appletom Java môže viesť k spusteniu ľubovoľného kódu. Tieto problémy boli vyriešené aktualizáciou prostredia Java 1.5 na verziu 1.5.0_16. Ďalšie informácie sú k dispozícii na webovej stránke Sun Java na adrese http://java.sun.com/j2se/1.5.0/ReleaseNotes.html
Java
CVE-ID: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Dostupné pre: Mac OS X 10.5.4 a novší, Mac OS X Server 10.5.4 a novší
Dopad: Viacero nedostatočne zabezpečených miest v prostredí Java 1.6.0_05
Popis: V prostredí Java 1.6.0_05 existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu umožniť nedôveryhodnému appletu Java získať oprávnenia vyššej úrovne. Návšteva webovej stránky so škodlivým appletom Java môže viesť k spusteniu ľubovoľného kódu. Tieto problémy boli vyriešené aktualizáciou prostredia Java 1.6 na verziu 1.6.0_07. Ďalšie informácie sú k dispozícii na webovej stránke Sun Java na adrese http://java.sun.com/javase/6/webnotes/ReleaseNotes.html
Java
Dostupné pre: Mac OS X 10.5.4 a novší, Mac OS X Server 10.5.4 a novší
Dopad: Obmedzená schopnosť aplikácií používať silnejšie kryptografické kľúče
Popis: Predvolené pravidlo jurisdikcie distribuované s prostredím Java 1.5 pre Mac OS X 10.5 obmedzuje maximálnu silu kryptografických kľúčov podporovaných v rámci rozšírenia JCE (Java Cryptography Extension) na 128 bitov. Táto aktualizácia rieši tento problém zmenou predvoleného pravidla jurisdikcie na verziu s neobmedzenou silou. Poďakovanie za nahlásenie tohto problému si zaslúži Bruno Harbulot z Manchesterskej univerzity.
Dôležité: Uvedenie webových stránok a produktov tretích strán slúži len na informačné účely a nepredstavuje podporu ani odporúčanie. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním informácií alebo produktov, ktoré sa nachádzajú na webových stránkach tretích strán. Spoločnosť Apple ich poskytuje len pre pohodlie používateľov. Spoločnosť Apple netestovala informácie uvedené na týchto stránkach a neposkytuje žiadne vyhlásenia týkajúce sa ich presnosti alebo spoľahlivosti. S používaním akýchkoľvek informácií alebo produktov uvedených na internete sú spojené riziká a spoločnosť Apple v tejto súvislosti nenesie žiadnu zodpovednosť. Webové stránky tretích strán sú nezávislé od spoločnosti Apple a spoločnosť Apple nemá žiadnu kontrolu nad ich obsahom. Ak potrebujete ďalšie informácie, kontaktujte príslušného dodávateľa.