關於 Java for Mac OS X 10.5 更新 2 的保安內容。

本文件說明 Java for Mac OS X 10.5 更新 2 的保安內容。

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。如要進一步了解 Apple 產品的保安,請參閱 Apple 產品保安網站。

如需 Apple 產品保安 PGP 金鑰的相關資料,請參閱「如何使用 Apple 產品保安 PGP 金鑰」。

在可能的情況下,CVE ID 會用於參照保安漏洞,以提供進一步資料。

如要了解其他保安更新,請參閱「Apple 保安更新」。

Java for Mac OS X 10.5 更新 2

  • Java

    CVE-ID:CVE-2008-3638

    適用於:Mac OS X v10.5.4 及之後版本、Mac OS X Server v10.5.4 及之後版本

    影響:瀏覽惡意製作的網站可能導致執行任意程式碼

    說明:Java 外掛模組不會阻止小程式啟動 file:// URL。瀏覽載有惡意製作的 Java 小程式之網站可能允許遙距攻擊者啟動本機檔案,繼而導致執行任意程式碼。這次更新透過改善 URL 處理機制,以解決此問題。這是 Apple 特有的問題。感謝 Nitesh Dhanjani 和 Billy Rios 報告此問題。

  • Java

    CVE-ID:CVE-2008-3637

    適用於:Mac OS X v10.5.4 及之後版本、Mac OS X Server v10.5.4 及之後版本

    影響:瀏覽惡意製作的網站可能導致執行任意程式碼

    說明:當產生 MD5 和 SHA-1 雜湊時,雜湊型訊息驗證碼 (HMAC) 供應商中出現錯誤檢查問題,導致系統使用未初始化的變數。瀏覽載有惡意製作的 Java 小程式之網站,可能導致執行任意程式碼。這項更新透過改善錯誤處理機制,以處理有關問題。這是 Apple 特有的問題。感謝 Radim Marek 報告此問題。

  • Java

    CVE-ID:CVE-2008-1185、CVE-2008-1186、CVE-2008-1187、CVE-2008-1188、CVE-2008-1189、CVE-2008-1190、CVE-2008-1191、CVE-2008-1192、CVE-2008-1195、CVE-2008-1196、CVE-2008-3104、CVE-2008-3107、CVE-2008-3108、CVE-2008-3111、CVE-2008-3112、CVE-2008-3113、CVE-2008-3114

    適用於:Mac OS X v10.5.4 及之後版本、Mac OS X Server v10.5.4 及之後版本

    影響:Java 1.4.2_16 中有多個漏洞

    說明:Java 1.4.2_16 中存在多個漏洞,其中最嚴重的漏洞可能允許不受信任的 Java 小程式獲得更高權限。瀏覽載有惡意製作的 Java 小程式之網頁,可能導致執行任意程式碼。已透過將 Java 1.4 更新至版本 1.4.2_18 處理這些問題。詳情請瀏覽 Sun Java 網站:http://java.sun.com/j2se/1.4.2/ReleaseNotes.html

  • Java

    CVE-ID:CVE-2008-1185、CVE-2008-1186、CVE-2008-1187、CVE-2008-1188、CVE-2008-1189、CVE-2008-1190、CVE-2008-1191、CVE-2008-1192、CVE-2008-1193、CVE-2008-1194、CVE-2008-1195、CVE-2008-1196、CVE-2008-3103、CVE-2008-3104、CVE-2008-3107、CVE-2008-3111、CVE-2008-3112、CVE-2008-3113、CVE-2008-3114、CVE-2008-3115

    適用於:Mac OS X v10.5.4 及之後版本、Mac OS X Server v10.5.4 及之後版本

    影響:Java 1.5.0_13 中有多個漏洞

    說明:Java 1.5.0_13 中存在多個漏洞,其中最嚴重的漏洞可能允許不受信任的 Java 小程式獲得更高權限。瀏覽載有惡意製作的 Java 小程式之網頁,可能導致執行任意程式碼。已透過將 Java 1.5 更新至版本 1.5.0_16 處理這些問題。詳情請瀏覽 Sun Java 網站:http://java.sun.com/j2se/1.5.0/ReleaseNotes.html

  • Java

    CVE-ID:CVE-2008-3103、CVE-2008-3104、CVE-2008-3105、CVE-2008-3106、CVE-2008-3107、CVE-2008-3109、CVE-2008-3110、CVE-2008-3111、CVE-2008-3112、CVE-2008-3113、CVE-2008-3114、CVE-2008-3115

    適用於:Mac OS X v10.5.4 及之後版本、Mac OS X Server v10.5.4 及之後版本

    影響:Java 1.6.0_05 中有多個漏洞

    說明:Java 1.6.0_05 中存在多個漏洞,其中最嚴重的漏洞可能允許不受信任的 Java 小程式獲得更高權限。瀏覽載有惡意製作的 Java 小程式之網頁,可能導致執行任意程式碼。已透過將 Java 1.6 更新至版本 1.6.0_07 處理這些問題。詳情請瀏覽 Sun Java 網站:http://java.sun.com/javase/6/webnotes/ReleaseNotes.html

  • Java

    適用於:Mac OS X v10.5.4 及之後版本、Mac OS X Server v10.5.4 及之後版本

    影響:應用程式使用更強加密金鑰的能力受限

    說明:Mac OS X v10.5 中隨 Java 1.5 發佈的預設管轄政策將 Java Cryptography Extension (JCE) 中支援的加密金鑰最大強度限制為 128 位元。這項更新透過將預設管轄政策更改為無限強度版本,處理有關問題。感謝 University of Manchester 的 Bruno Harbulot 報告此問題。

重要事項:提及的第三方網站和產品僅供參考,並不構成建議或推薦。Apple 對於第三方網站的資料或產品之選擇、效能或使用概不負責。Apple 僅為方便旗下產品的使用者而提供有關資料。Apple 並未測試此等網站上的資料,對其準確或可靠程度概不作任何聲明。使用互聯網上的任何資料或產品均存在固有風險,Apple 概不就此承擔任何責任。請明白第三方網站乃獨立於 Apple,而 Apple 對有關網站的內容並無控制權。請聯絡供應商查詢詳情。

發佈日期: