CERT-FI haavoittuvuustiedote 041/2009

22.5.2009

Haavoittuvuuksia Java for Mac OS X -ohjelmistossa


Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Mac OS X -käyttöjärjestelmään on saatavilla Applen tuottama Java-ajoympäristö, Java for Mac OS X. Mac OS X 10.4 ja 10.5 -järjestelmiin saatavilla olevat Apple Java-versiot ovat tällä hetkellä Sun Java pääversioiden 1.6.0_07, 1.5.0_16 ja 1.4.2_18 päivitystasolla. Tämän jälkeen Mac OS X 10.4 ja 10.5 -järjestelmiin saatavilla olevista Apple Java -versioista on korjattu yksittäisiä haavoittuvuuksia Java for Mac OS X 10.5 Update 3 ja Java for Mac OS X 10.4 Release 8 -julkaisujen yhteydessä. Vakavimmat Java for Mac OS X -ohjelmistosta toistaiseksi korjaamattomat haavoittuvuudet, kuten CVE-2008-5353, voivat mahdollistaa hyökkääjän omien komentojen suorittamisen haavoittuvaa Java-versiota käyttävän käyttäjän käyttöoikeustasolla. Haavoittuvuuksia voi hyväksikäyttää muun muassa houkuttelemalla käyttäjä suorittamaan haitallisesti laadittu Java-sovellus tai www-selaimen välityksellä houkuttelemalla käyttäjä haitallisen Java-sovelman sisältävälle www-sivustolle. Haavoittuvuuteen CVE-2008-5353 on julkisesti saatavilla oleva hyväksikäyttömenetelmä.

HAAVOITTUVAT OHJELMISTOT:

Java for Mac OS X 10.4 ja Java for Mac OS X 10.5

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä Mac OS X Java uusimpaan versioon ohjelmistopäivitystoiminnolla tai lataamalla se osoitteesta:

http://www.apple.com/support/downloads/

Haavoittuvuuksia voi myös rajoittaa estämällä Java-sovelmien suorittaminen www-selaimessa.

LISÄTIETOA:

PÄIVITYSHISTORIA:

22.5.2009, kello 16.15: Julkaistu
17.6.2009, kello 15.00: Lisätty tieto korjaavan päivityksen saatavuudesta.

Kommentoi

Sivua päivitetty 17.06.2009

Tulostusversio