Mac OS X 10.5 için Java Güncelleme 2'nin güvenlik içeriği hakkında

Bu belgede, Mac OS X 10.5 için Java Güncelleme 2'nin güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

Mac OS X 10.5 için Java Güncelleme 2

• Java

  CVE-ID: CVE-2008-3638

  İlgili sürümler: Mac OS X v10.5.4 ve sonraki sürümler, Mac OS X Server v10.5.4 ve sonraki sürümler

  Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek rastgele kod yürütülmesine neden olabilir

  Açıklama: Java yazılım eki, uygulamaların file:// URL'lerini başlatmasını engellemiyor. Kötü amaçlarla oluşturulmuş bir Java uygulamasının bulunduğu bir web sitesini ziyaret etmek, uzaktaki bir saldırganın yerel dosyaları başlatmasına izin verebilir ve bu da rastgele kod yürütülmesine yol açabilir. Bu güncelleme, URL'lerin işlenmesini iyileştirerek sorunu giderir. Bu, Apple'a özgü bir sorundur. Bu sorunu bildirdiği Nitesh Dhanjani ve Billy Rios'a teşekkür ederiz.

• Java

  CVE-ID: CVE-2008-3637

  İlgili sürümler: Mac OS X v10.5.4 ve sonraki sürümler, Mac OS X Server v10.5.4 ve sonraki sürümler

  Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek rastgele kod yürütülmesine neden olabilir

  Açıklama: MD5 ve SHA-1 hash'lerini oluşturmak için kullanılan Hash Tabanlı Mesaj Kimlik Doğrulama Kodu (HMAC) sağlayıcısında, ilklendirilmemiş bir değişkenin kullanımına yol açan bir hata kontrolü sorunu var. Kötü amaçlarla oluşturulmuş bir Java uygulamasının bulunduğu bir web sitesini ziyaret etmek, rastgele kod yürütülmesine neden olabilir. Bu güncelleme, hata işlemeyi iyileştirerek sorunu giderir. Bu, Apple'a özgü bir sorundur. Bu sorunu bildirdiği için Radim Marek'e teşekkür ederiz

• Java

  CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114

  İlgili sürümler: Mac OS X v10.5.4 ve sonraki sürümler, Mac OS X Server v10.5.4 ve sonraki sürümler

  Etki: Java 1.4.2_16'da birden fazla güvenlik açığı

  Açıklama: Java 1.4.2_16'da birden fazla güvenlik açığı var. Bunlardan en önemlisi, güvenilir olmayan bir Java uygulamasının yüksek ayrıcalıklar elde etmesine izin verebilir. Kötü amaçlarla oluşturulmuş bir Java uygulamasının bulunduğu bir web sitesini ziyaret etmek, rastgele kod yürütülmesine neden olabilir. Java 1.4, 1.4.2_18 sürümüne güncellenerek bu sorunlar giderildi. Sun Java web sitesinde daha fazla bilgi bulunabilir: http://java.sun.com/j2se/1.5.0/ReleaseNotes.html

• Java

  CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

  İlgili sürümler: Mac OS X v10.5.4 ve sonraki sürümler, Mac OS X Server v10.5.4 ve sonraki sürümler

  Etki: Java 1.5.0_13'te birden fazla güvenlik açığı var

  Açıklama: Java 1.5.0_13'te birden fazla güvenlik açığı var. Bunlardan en önemlisi, güvenilir olmayan bir Java uygulamasının yüksek ayrıcalıklar elde etmesine izin verebilir. Kötü amaçlarla oluşturulmuş bir Java uygulamasının bulunduğu bir web sitesini ziyaret etmek, rastgele kod yürütülmesine neden olabilir. Java 1.5, 1.5.0_16 sürümüne güncellenerek bu sorunlar giderildi. Sun Java web sitesinde daha fazla bilgi bulunabilir: http://java.sun.com/j2se/1.5.0/ReleaseNotes.html

• Java

  CVE-ID: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

  İlgili sürümler: Mac OS X v10.5.4 ve sonraki sürümler, Mac OS X Server v10.5.4 ve sonraki sürümler

  Etki: Java 1.6.0_05'te birden fazla güvenlik açığı

  Açıklama: Java 1.6.0_05'te birden fazla güvenlik açığı var. Bunlardan en önemlisi, güvenilir olmayan bir Java uygulamasının yüksek ayrıcalıklar elde etmesine izin verebilir. Kötü amaçlarla oluşturulmuş bir Java uygulamasının bulunduğu bir web sitesini ziyaret etmek, rastgele kod yürütülmesine neden olabilir. Java 1.6, 1.6.0_07 sürümüne güncellenerek bu sorunlar giderildi. Sun Java web sitesinde daha fazla bilgi bulunabilir: http://java.sun.com/javase/6/webnotes/ReleaseNotes.html

• Java

  İlgili sürümler: Mac OS X v10.5.4 ve sonraki sürümler, Mac OS X Server v10.5.4 ve sonraki sürümler

  Etki: Uygulamaların daha güçlü şifreleme anahtarları kullanma yeteneği sınırlı

  Açıklama: Mac OS X v10.5'te Java 1.5 ile dağıtılan varsayılan yetki alanı politikası, Java Cryptography Extension'da (JCE) desteklenen şifreleme anahtarlarının maksimum gücünü 128 bit ile sınırlandırır. Bu güncelleme, saptanmış yetki alanı politikasını sınırsız güç versiyonuna değiştirerek sorunu giderir. Bu sorunu bildirdiği için University of Manchester'dan Bruno Harbulot 'a teşekkür ederiz.