Відомості про проблеми системи безпеки, які усунено в оновленні Java для Mac OS X 10.5 версії 2
У цьому документі описано проблеми системи безпеки, які усунено в оновленні Java для Mac OS X 10.5 версії 2.
Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки повністю не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте вебсайт, присвячений безпеці продуктів Apple.
Відомості про ключ PGP безпеки продуктів Apple наведено в статті Як використовувати ключ PGP безпеки продуктів Apple.
Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.
Відомості про інші оновлення системи безпеки наведено в статті Випуски безпеки Apple.
Оновлення Java для Mac OS X 10.5 версії 2
Java
Ідентифікатор CVE: CVE-2008-3638
Цільові продукти: Mac OS X 10.5.4 або пізнішої версії, Mac OS X Server 10.5.4 або пізнішої версії
Вплив. Відвідування шкідливого вебсайту може призвести до виконання довільного коду
Опис. Плагін Java не блокує аплетам запуск URL-адрес file://. Відвідування вебсайту, що містить шкідливий Java-аплет, може дозволити віддаленому зловмиснику запустити локальні файли, що може призвести до виконання довільного коду. Це оновлення усуває проблему за допомогою покращення процесу обробки URL-адрес. Це проблема, специфічна для Apple. Дякуємо Nitesh Dhanjani й Billy Rios за повідомлення про цю проблему.
Java
Ідентифікатор CVE: CVE-2008-3637
Цільові продукти: Mac OS X 10.5.4 або пізнішої версії, Mac OS X Server 10.5.4 або пізнішої версії
Вплив. Відвідування шкідливого вебсайту може призвести до виконання довільного коду
Опис. Проблема перевірки помилок, що призводить до використання неініціалізованої змінної, існує в постачальнику коду автентифікації повідомлення на основі хешу (HMAC), який використовується для створення хешів MD5 і SHA-1. Відвідування вебсайту, що містить шкідливий Java-аплет, може призвести до виконання довільного коду. У цьому оновленні проблему вирішено завдяки вдосконаленню обробки помилок. Це проблема, специфічна для Apple. Дякуємо Radim Marek за повідомлення про цю проблему.
Java
Ідентифікатор CVE: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114
Цільові продукти: Mac OS X 10.5.4 або пізнішої версії, Mac OS X Server 10.5.4 або пізнішої версії
Вплив. Кілька вразливостей у Java 1.4.2_16
Опис. У Java 1.4.2_16 існує кілька вразливостей, найсерйозніші з яких можуть дати змогу ненадійним Java-аплетам підвищити рівень привілеїв. Відвідування вебсторінки, що містить шкідливий Java-аплет, може призвести до виконання довільного коду. Ці проблеми вирішено завдяки оновленню Java 1.4 до версії 1.4.2_18. Додаткову інформацію див. на сайті Sun Java за адресою http://java.sun.com/j2se/1.4.2/ReleaseNotes.html
Java
Ідентифікатор CVE: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Цільові продукти: Mac OS X 10.5.4 або пізнішої версії, Mac OS X Server 10.5.4 або пізнішої версії
Вплив. Кілька вразливостей у Java 1.5.0_13
Опис. У Java 1.5.0_13 існує кілька вразливостей, найсерйозніші з яких можуть дати змогу ненадійним Java-аплетам підвищити рівень привілеїв. Відвідування вебсторінки, що містить шкідливий Java-аплет, може призвести до виконання довільного коду. Ці проблеми вирішено завдяки оновленню Java 1.5 до версії 1.5.0_16. Додаткову інформацію див. на сайті Sun Java за адресою http://java.sun.com/j2se/1.5.0/ReleaseNotes.html
Java
Ідентифікатор CVE: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115
Цільові продукти: Mac OS X 10.5.4 або пізнішої версії, Mac OS X Server 10.5.4 або пізнішої версії
Вплив. Кілька вразливостей у Java 1.6.0_05
Опис: у Java 1.6.0_05 існує кілька вразливостей, найсерйозніші з яких можуть дати змогу ненадійним Java-аплетам підвищити рівень привілеїв. Відвідування вебсторінки, що містить шкідливий Java-аплет, може призвести до виконання довільного коду. Ці проблеми вирішено завдяки оновленню Java 1.6 до версії 1.6.0_07. Додаткову інформацію див. на сайті Sun Java за адресою http://java.sun.com/javase/6/webnotes/ReleaseNotes.html
Java
Цільові продукти: Mac OS X 10.5.4 або пізнішої версії, Mac OS X Server 10.5.4 або пізнішої версії
Вплив. Обмежена можливість програм використовувати надійніші криптографічні ключі
Опис. Політика стандартної юрисдикції, що розповсюджується з Java 1.5 у Mac OS X 10.5, обмежує максимальну надійність криптографічних ключів, які підтримуються в Java Cryptography Extension (JCE), до 128 біт. У цьому оновленні вирішено проблему шляхом зміни стандартної політики юрисдикції на версію з необмеженою силою. Дякуємо Andrew Mortensen із Манчестерського університету за повідомлення про цю проблему.
Важливо. Згадування сторонніх вебсайтів і продуктів призначене лише для інформаційних цілей та не є ні заявою про підтримку, ні рекомендацією. Apple не несе відповідальності за вибір, продуктивність чи використання інформації або продуктів зі сторонніх вебсайтів. Apple надає цю інформацію лише для зручності наших користувачів. Компанія Apple не перевіряла інформацію, знайдену на цих вебсайтах, і не робить жодних заяв щодо її точності або надійності. Використання будь-якої інформації або продуктів, знайдених в інтернеті, пов’язане з ризиком, і Apple не несе жодної відповідальності щодо цього. Пам’ятайте, що сторонній вебсайт існує незалежно від Apple, і Apple не контролює вміст такого вебсайту. Зв’яжіться з постачальником для отримання додаткової інформації.