Giới thiệu về nội dung bảo mật của Java dành cho Bản cập nhật Mac OS X 10.5 số 2.

Tài liệu này mô tả nội dung bảo mật của Java dành cho Bản cập nhật Mac OS X 10.5 số 2.

Nhằm bảo vệ khách hàng, Apple không tiết lộ, thảo luận hay xác nhận các vấn đề về bảo mật chừng nào chưa điều tra triệt để cũng như chưa có các bản vá hoặc bản phát hành cần thiết. Để tìm hiểu thêm về việc Bảo mật sản phẩm Apple, hãy truy cập trang web Bảo mật sản phẩm Apple.

Để tìm hiểu thông tin về Khóa PGP Bảo mật sản phẩm Apple, hãy xem bài viết "Cách sử dụng Khóa PGP Bảo mật sản phẩm Apple".

Nếu có thể, hãy tham chiếu các lỗ hổng bảo mật theo Mã số định danh lỗ hổng bảo mật (Common Vulnerabilities and Exposures ID, CVE-ID) để biết thêm thông tin.

Để tìm hiểu về các Bản cập nhật bảo mật khác, hãy xem bài viết "Bản cập nhật bảo mật của Apple".

Java dành cho Bản cập nhật Mac OS X 10.5 số 2

• Java

  CVE-ID: CVE-2008-3638

  Phạm vi áp dụng: Mac OS X v10.5.4 trở về sau, Mac OS X Server v10.5.4 trở về sau

  Tác động: Hành động truy cập trang web được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý

  Mô tả: Trình bổ trợ Java không chặn các ứng dụng nhỏ khởi chạy URL file://. Hành động truy cập trang web chứa ứng dụng nhỏ Java được tạo với dụng ý xấu có thể cho phép kẻ tấn công từ xa khởi chạy các tệp cục bộ, điều này có thể dẫn đến việc thực thi mã tùy ý. Bản cập nhật này giải quyết sự cố thông qua việc nâng cao hiệu quả xử lý các URL. Sự cố này chỉ xảy ra với Apple. Cảm ơn Nitesh Dhanjani và Billy Rios vì đã báo cáo sự cố này.

• Java

  CVE-ID: CVE-2008-3637

  Phạm vi áp dụng: Mac OS X v10.5.4 trở về sau, Mac OS X Server v10.5.4 trở về sau

  Tác động: Hành động truy cập trang web được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý

  Mô tả: Sự cố kiểm tra lỗi (dẫn đến việc sử dụng biến chưa được khởi tạo) tồn tại trong bộ cấp Mã xác thực thông báo dựa trên hàm băm (HMAC) dùng để tạo hàm băm MD5 và SHA-1. Hành động truy cập trang web chứa ứng dụng nhỏ Java được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý. Bản cập nhật này giải quyết sự cố thông qua việc nâng cao hiệu quả quy trình xử lý lỗi. Sự cố này chỉ xảy ra với Apple. Cảm ơn Radim Marek vì đã báo cáo sự cố này.

• Java

  CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1195, CVE-2008-1196, CVE-2008-3104, CVE-2008-3107, CVE-2008-3108, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114

  Phạm vi áp dụng: Mac OS X v10.5.4 trở về sau, Mac OS X Server v10.5.4 trở về sau

  Tác động: Nhiều lỗ hổng trong Java 1.4.2_16

  Mô tả: Nhiều lỗ hổng tồn tại trong Java 1.4.2_16, trong đó, lỗ hổng nghiêm trọng nhất có thể cho phép các ứng dụng nhỏ·Java không đáng tin cậy chiếm được đặc quyền nâng cao. Hành động truy cập trang web chứa ứng dụng nhỏ Java được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý. Những sự cố này được giải quyết bằng cách cập nhật Java 1.4 lên phiên bản 1.4.2_18. Vui lòng xem thông tin cụ thể hơn trên trang web của Sun Java tại địa chỉ http://java.sun.com/j2se/1.4.2/ReleaseNotes.html

• Java

  CVE-ID: CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-2008-1192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3107, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

  Phạm vi áp dụng: Mac OS X v10.5.4 trở về sau, Mac OS X Server v10.5.4 trở về sau

  Tác động: Nhiều lỗ hổng tồn tại trong Java 1.5.0_13

  Mô tả: Nhiều lỗ hổng xuất hiện trong Java 1.5.0_13, trong đó, lỗ hổng nghiêm trọng nhất có thể cho phép các ứng dụng nhỏ Java không đáng tin cậy chiếm được đặc quyền nâng cao. Hành động truy cập trang web chứa ứng dụng nhỏ Java được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý. Những sự cố này được giải quyết bằng cách cập nhật Java 1.5 lên phiên bản 1.5.0_16. Vui lòng xem thông tin cụ thể hơn trên trang web của Sun Java tại địa chỉ http://java.sun.com/j2se/1.5.0/ReleaseNotes.html

• Java

  CVE-ID: CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE-2008-3106, CVE-2008-3107, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115

  Phạm vi áp dụng: Mac OS X v10.5.4 trở về sau, Mac OS X Server 10.5.4 trở về sau

  Tác động: Nhiều lỗ hổng trong Java 1.6.0_05

  Mô tả: Nhiều lỗ hổng tồn tại trong Java 1.6.0_05, trong đó, lỗ hổng nghiêm trọng nhất có thể cho phép các ứng dụng nhỏ Java không đáng tin cậy chiếm được đặc quyền nâng cao. Hành động truy cập trang web chứa ứng dụng nhỏ Java được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý. Những sự cố này được giải quyết bằng cách cập nhật Java 1.6 lên phiên bản 1.6.0_07. Vui lòng xem thông tin cụ thể hơn trên trang web của Sun Java tại địa chỉ http://java.sun.com/javase/6/webnotes/ReleaseNotes.html

• Java

  Phạm vi áp dụng: Mac OS X v10.5.4 trở về sau, Mac OS X Server v10.5.4 trở về sau

  Tác động: Khả năng ứng dụng sử dụng khóa mật mã mạnh hơn bị hạn chế

  Mô tả: Chính sách quyền tài phán mặc định được phân phối cùng với Java 1.5 trên Mac OS X v10.5 hạn chế độ mạnh tối đa của các khóa mật mã được hỗ trợ trong Tiện ích mở rộng mật mã Java (JCE) ở mức 128 bit. Bản cập nhật này giải quyết sự cố bằng cách thay đổi chính sách quyền tài phán mặc định thành phiên bản độ mạnh không giới hạn. Cảm ơn Bruno Harbulot tại Đại học Manchester vì đã báo cáo sự cố này.