บทความนี้ถูกเก็บถาวรและไม่ได้รับการอัพเดทจาก Apple อีกต่อไป

เกี่ยวกับเนื้อหาความปลอดภัยของ Java สำหรับ Mac OS X 10.5 Update 2

เอกสารนี้อธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Java สำหรับ Mac OS X 10.5 Update 2

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือรายการอัปเดตที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่ความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ได้ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

หากต้องการเรียนรู้เกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ โปรดดู "รายการอัปเดตความปลอดภัยของ Apple"

Java สำหรับ Mac OS X 10.5 Update 2

  • Java

    CVE-ID: CVE-2008-3638

    มีให้สำหรับ: Mac OS X v10.5.4 และใหม่กว่า, Mac OS X Server v10.5.4 และใหม่กว่า

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการรันโค้ดโดยพลการ

    คำอธิบาย: ปลั๊กอิน Java ไม่บล็อกแอปเพล็ตไม่ให้เปิดไฟล์:// URL การเข้าดูเว็บไซต์ที่มีแอปเพล็ต Java ที่ออกแบบมาเพื่อประสงค์ร้ายอาจอนุญาตให้ผู้โจมตีระยะไกลสามารถเปิดไฟล์ภายในเครื่อง ซึ่งอาจทำให้มีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่างโดยการปรับปรุงการจัดการ URL ให้ดียิ่งขึ้น ซึ่งนี่เป็นปัญหาที่เกิดขึ้นเฉพาะกับ Apple ขอขอบคุณ Nitesh Dhanjani และ Billy Rios ที่รายงานปัญหานี้

  • Java

    CVE-ID: CVE-2008-3637

    มีให้สำหรับ: Mac OS X v10.5.4 และใหม่กว่า, Mac OS X Server v10.5.4 และใหม่กว่า

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการรันโค้ดโดยพลการ

    คำอธิบาย: มีปัญหาการตรวจสอบข้อผิดพลาดซึ่งส่งผลให้มีการใช้ตัวแปรที่ยังไม่ได้กำหนดค่าในผู้ให้บริการ Hash-based Message Authentication Code (HMAC) ที่ใช้สำหรับสร้างแฮช MD5 และ SHA-1 การเข้าดูเว็บไซต์ที่มีแอปเพล็ต Java ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้มีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการจัดการข้อผิดพลาดให้ดียิ่งขึ้น ซึ่งนี่เป็นปัญหาที่เกิดขึ้นเฉพาะกับ Apple ขอขอบคุณ Radim Marek ที่รายงานปัญหานี้

  • Java

    CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114

    มีให้สำหรับ: Mac OS X v10.5.4 และใหม่กว่า, Mac OS X Server v10.5.4 และใหม่กว่า

    ผลกระทบ: ช่องโหว่หลายจุดใน Java 1.4.2_16

    คำอธิบาย: พบช่องโหว่หลายจุดใน Java 1.4.2_16 และจุดที่ร้ายแรงที่สุดอาจทำให้ Java ที่ไม่ได้เชื่อถือได้รับสิทธิพิเศษที่สูงขึ้น การเข้าดูหน้าเว็บที่มีแอปเพล็ต Java ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้มีการรันโค้ดโดยพลการ ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัปเดต Java 1.4 ให้เป็นเวอร์ชั่น 1.4.2_18 ดูข้อมูลเพิ่มเติมได้ทางเว็บไซต์ของ Sun Java ที่ http://java.sun.com/j2se/1.4.2/ReleaseNotes.html

  • Java

    CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

    มีให้สำหรับ: Mac OS X v10.5.4 และใหม่กว่า, Mac OS X Server v10.5.4 และใหม่กว่า

    ผลกระทบ: ช่องโหว่หลายจุดใน Java 1.5.0_13

    คำอธิบาย: พบช่องโหว่หลายจุดใน Java 1.5.0_13 และจุดที่ร้ายแรงที่สุดอาจทำให้ Java ที่ไม่ได้เชื่อถือได้รับสิทธิพิเศษที่สูงขึ้น การเข้าดูหน้าเว็บที่มีแอปเพล็ต Java ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้มีการรันโค้ดโดยพลการ ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัปเดต Java 1.5 ให้เป็นเวอร์ชั่น 1.5.0_16 ดูข้อมูลเพิ่มเติมได้ทางเว็บไซต์ของ Sun Java ที่ http://java.sun.com/j2se/1.5.0/ReleaseNotes.html

  • Java

    CVE-ID: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

    มีให้สำหรับ: Mac OS X v10.5.4 และใหม่กว่า, Mac OS X Server v10.5.4 และใหม่กว่า

    ผลกระทบ: ช่องโหว่หลายจุดใน Java 1.6.0_05

    คำอธิบาย: พบช่องโหว่หลายจุดใน Java 1.6.0_05 และจุดที่ร้ายแรงที่สุดอาจทำให้ Java ที่ไม่ได้เชื่อถือได้รับสิทธิพิเศษที่สูงขึ้น การเข้าดูหน้าเว็บที่มีแอปเพล็ต Java ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้มีการรันโค้ดโดยพลการ ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัปเดต Java 1.6 ให้เป็นเวอร์ชั่น 1.6.0_07 ดูข้อมูลเพิ่มเติมได้ทางเว็บไซต์ของ Sun Java ที่ http://java.sun.com/javase/6/webnotes/ReleaseNotes.html

  • Java

    มีให้สำหรับ: Mac OS X v10.5.4 และใหม่กว่า, Mac OS X Server v10.5.4 และใหม่กว่า

    ผลกระทบ: แอปพลิเคชันถูกจำกัดความสามารถในการใช้คีย์เข้ารหัสที่แข็งแกร่งขึ้น

    คำอธิบาย: นโยบายเขตอำนาจศาลตามค่าเริ่มต้นที่แจกจ่ายด้วย Java 1.5 บน Mac OS X v10.5 จำกัดความสามารถสูงสุดของคีย์เข้ารหัสในการรองรับใน Java Cryptography Extension (JCE) ให้เหลือเพียง 128 บิต รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการเปลี่ยนนโยบายเขตอำนาจศาลตามค่าเริ่มต้นให้เป็นเวอร์ชั่นที่ไม่จำกัดความสามารถสูงสุด ขอขอบคุณ Bruno Harbulot จาก University of Manchester ที่รายงานปัญหานี้

สำคัญ: การอ้างอิงเว็บไซต์และผลิตภัณฑ์ของบริษัทอื่นมีจุดประสงค์เพื่อให้ข้อมูลเท่านั้น และไม่ได้เป็นการรับรองหรือแนะนำแต่อย่างใด Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของผู้ให้บริการรายอื่น Apple ให้ข้อมูลนี้เพื่อความสะดวกของลูกค้าเท่านั้น Apple ไม่ได้ตรวจสอบข้อมูลที่พบบนเว็บไซต์เหล่านี้ และไม่ได้รับรองความถูกต้องและความเชื่อถือได้ของข้อมูลดังกล่าว การใช้ข้อมูลหรือผลิตภัณฑ์ใดๆ ก็ตามบนอินเทอร์เน็ตมีความเสี่ยง และ Apple ไม่มีส่วนรับผิดชอบในเรื่องนี้ โปรดเข้าใจว่าเว็บไซต์ของบุคคลที่สามดำเนินการอย่างเป็นอิสระจาก Apple และ Apple ไม่ได้ควบคุมเนื้อหาบนเว็บไซต์ดังกล่าว โปรดติดต่อเวนเดอร์เพื่อขอข้อมูลเพิ่มเติม

วันที่เผยแพร่: