關於 Java for Mac OS X 10.5 更新 2 的安全性內容

本文說明 Java for Mac OS X 10.5 更新 2 的安全性內容。

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要進一步了解 Apple 產品安全性,請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。

若要了解其他安全性更新,請參閱「Apple 安全性更新」。

Java for Mac OS X 10.5 更新 2

  • Java

    CVE-ID:CVE-2008-3638

    適用於:Mac OS X v10.5.4 和以上版本、Mac OS X Server v10.5.4 和以上版本

    影響:造訪惡意製作的網站可能導致執行任意程式碼

    說明:Java 外掛模組並未阻止 Applet 啟動 file:// URL。造訪包含惡意製作的 Java applet 的網站可能允許遠端攻擊者啟動本機檔案,從而導致執行任意程式碼。此更新可改善 URL 的處理方式,以解決此問題。這是 Apple 特定的問題。感謝 Nitesh Dhanjani 和 Billy Rios 回報這個問題。

  • Java

    CVE-ID:CVE-2008-3637

    適用於:Mac OS X v10.5.4 和以上版本、Mac OS X Server v10.5.4 和以上版本

    影響:造訪惡意製作的網站可能導致執行任意程式碼

    說明:用於產生 MD5 和 SHA-1 雜湊值的雜湊訊息鑑別碼(HMAC)提供者中存在一個錯誤檢查問題,會導致使用未初始化的變數。造訪包含惡意製作的 Java applet 的網站可能導致執行任意程式碼。此更新改進錯誤的處理機制,以解決此問題。這是 Apple 特定的問題。感謝 Radim Marek 回報此問題。

  • Java

    CVE-ID:CVE-2008-1185、CVE-2008-1186、CVE-2008-1187、CVE-2008-1188、CVE-2008-1189、CVE-2008-1190、CVE-2008-1191、CVE-2008-1192、CVE-2008-1195、CVE-2008-1196、CVE-2008-3104、CVE-2008-3107、CVE-2008-3108、CVE-2008-3111、CVE-2008-3112、CVE-2008-3113、CVE-2008-3114

    適用於:Mac OS X v10.5.4 和以上版本、Mac OS X Server v10.5.4 和以上版本

    影響:Java 1.4.2_16 有多個漏洞

    說明:Java 1.4.2_16 存在多個漏洞,最嚴重的漏洞可能允許不受信任的 Java applet 取得更高的權限。造訪包含惡意製作的 Java applet 的網頁可能導致執行任意程式碼。藉由將 Java 1.4 更新至 1.4.2_18 版,已解決這些問題。如需詳細資訊,請造訪 Sun Java 網站 https://www.oracle.com/tw/java/technologies/

  • Java

    CVE-ID:CVE-2008-1185、CVE-2008-1186、CVE-2008-1187、CVE-2008-1188、CVE-2008-1189、CVE-2008-1190、CVE-2008-1191、CVE-2008-1192、CVE-2008-1193、CVE-2008-1194、CVE-2008-1195、CVE-2008-1196、CVE-2008-3103、CVE-2008-3104、CVE-2008-3107、CVE-2008-3111、CVE-2008-3112、CVE-2008-3113、CVE-2008-3114、CVE-2008-3115

    適用於:Mac OS X v10.5.4 和以上版本、Mac OS X Server v10.5.4 和以上版本

    影響:Java 1.5.0_13 有多個漏洞

    說明:Java 1.5.0_13 有多個漏洞,最嚴重的漏洞可能允許不受信任的 Java applet 取得更高的權限。造訪包含惡意製作的 Java applet 的網頁可能導致執行任意程式碼。藉由將 Java 1.5 更新至 1.5.0_16 版,已解決這些問題。如需詳細資訊,請造訪 Sun Java 網站 https://java.sun.com/j2se/1.5.0/ReleaseNotes.html

  • Java

    CVE-ID:CVE-2008-3103、CVE-2008-3104、CVE-2008-3105、CVE-2008-3106、CVE-2008-3107、CVE-2008-3109、CVE-2008-3110、CVE-2008-3111、CVE-2008-3112、CVE-2008-3113、CVE-2008-3114、CVE-2008-3115

    適用於:Mac OS X v10.5.4 和以上版本、Mac OS X Server v10.5.4 和以上版本

    影響:Java 1.6.0_05 有多個漏洞

    說明:Java 1.6.0_05 存在多個漏洞,最嚴重的漏洞可能允許不受信任的 Java applet 取得更高的權限。造訪包含惡意製作的 Java applet 的網頁可能導致執行任意程式碼。藉由將 Java 1.6 更新至 1.6.0_07 版,已解決這些問題。如需詳細資訊,請造訪 Sun Java 網站 https://www.oracle.com/java/technologies/javase/jdk-relnotes-index.html

  • Java

    適用於:Mac OS X v10.5.4 和以上版本、Mac OS X Server v10.5.4 和以上版本

    影響:應用程式使用更強加密密鑰的能力有限

    說明:Mac OS X v10.5 上隨 Java 1.5 一起發布的預設管轄政策,將 Java Cryptography Extension(JCE)中支援的加密密鑰的最大強度限制為 128 位元。此更新透過將預設管轄政策更改為無限強度版本,已解決此問題。感謝 University of Manchester 的 Bruno Harbulot 回報此問題。

重要事項:本文提及的第三方網站與產品資訊僅供參考之用,且不構成背書或建議。對於第三方網站或產品的選擇、效能或使用,Apple 不負任何責任。前述內容僅為方便 Apple 使用者而提供。Apple 尚未測試這些網站上的資訊,對其準確性或可靠性未為任何聲明。使用網際網路上找到的任何資訊或產品有其風險,Apple 不負任何責任。請了解第三方網站與 Apple 各自獨立,Apple 對於該網站的內容不具有控制權。請聯絡廠商,取得其他相關資訊。

發佈日期: