關於 Java for Mac OS X 10.6 更新 1 的保安內容

本文件說明 Java for Mac OS X 10.6 更新 1 的保安內容。

本文件說明 Java for Mac OS X 10.6 更新 1 的保安內容，這項更新可透過「軟件更新」偏好設定或從 「Apple 下載項目」網頁下載和安裝。

為保障客戶的安全，在進行完整調查並提供所有必要的修補程式或版本之前，Apple 不會揭露、討論或確認安全性問題。如要進一步了解 Apple 產品的保安，請參閱 Apple 產品保安網站。

如需 Apple 產品保安 PGP 金鑰的相關資料，請參閱「如何使用 Apple 產品保安 PGP 金鑰」一文。

在可能的情況下，CVE ID 會用於參照保安漏洞，以提供進一步資料。

如要了解其他保安更新，請參閱「Apple 保安更新」一文。

Java for Mac OS X 10.6 更新 1

• Java

  CVE-ID：CVE-2009-3869、CVE-2009-3871、CVE-2009-3875、CVE-2009-3874、CVE-2009-3728、CVE-2009-3872、CVE-2009-3868、CVE-2009-3867、CVE-2009-3884、CVE-2009-3873、CVE-2009-3877、CVE-2009-3865、CVE-2009-3866

  適用於：Mac OS X v10.6.2 或之後版本、Mac OS X Server v10.6.2 或之後版本

  影響：Java 1.6.0_15 存在多個漏洞

  說明：Java 1.6.0_15 存在多個漏洞，其中最嚴重的漏洞可能允許不受信任的 Java 小程式獲得更高權限。瀏覽載有惡意製作且不受信任的 Java 小程式之網頁，可能導致小程式以目前用戶的權限執行任意程式碼。已透過更新至 Java 版本 1.6.0_17 處理這些問題。詳情請瀏覽 Sun Java 網站：http://www.oracle.com/technetwork/java/javase/releasenotes-136954.html。感謝 Netragard 的 Kevin Finisterre 向 Apple 報告 CVE-2009-3867。

• Java

  CVE-ID：CVE-2009-2843

  適用於：Mac OS X v10.6.2 或之後版本、Mac OS X Server v10.6.2 或之後版本

  影響：已過期的 Java 小程式憑證被當成有效

  說明：已過期的 Java 小程式憑證被當成有效。已透過改善過期憑證的處理機制，處理這項問題。感謝 ETH Zurich 的 Simon Heimlicher 報告此問題。