CERT-FI haavoittuvuustiedote 184/2007

14.12.2007

Päivitys Apple Mac OS X 10.4 Java-ohjelmistoon

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Apple on julkaissut korjauspäivityksiä useille Java for Mac OS X 10.4 -ohjelmiston haavoittuvuuksille. Päivitykset korjaavat muun muassa useita tunnettuja Java-haavoittuvuuksia. Vakavimpia nyt korjattuja haavoittuvuuksia hyväksikäyttämällä hyökkääjän on mahdollista suorittaa kohdejärjestelmässä omia komentojaan tai laajentaa käyttöoikeuksiaan. Haavoittuvuuksia voi hyväksikäyttää esimerkiksi houkuttelemalla haavoittuvaa ohjelmistoversiota käyttävä käyttäjä vihamielisesti muotoillun Java-sovelman sisältävälle www-sivustolle. Päivitykset päivittävät Mac OS X Java 1.4:n versioon 1.4.2_16 ja J2SE 5.0:n versioon 1.5.0_13.

HAAVOITTUVAT OHJELMISTOT:

• Mac OS X 10.4 Java ja Mac OS X Server 10.4 Java ennen nyt julkaistua release 6:ta.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä Mac OS X 10.4 Java uusimpaan versioon ohjelmistopäivitystoiminnolla tai lataamalla se osoitteesta:

http://www.apple.com/support/downloads/

Haavoittuvuudet on korjattu Mac OS X versiossa 10.5 ja sen jälkeen julkaistuissa OS X 10.5 versioissa.

LISÄTIETOA:

• http://docs.info.apple.com/article.html?artnum=307177

PÄIVITYSHISTORIA:

14.12.2007, kello 22.29: Julkaistu

14.12.2007, kello 23.59: Tehty pieniä korjauksia

Sivua päivitetty 15.12.2007

Tulostusversio