Vulnerability Bulletins |
Múltiple vulnerabilidades en Java para Mac OS X |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Aumento de privilegios |
| Dificulty | Experto |
| Required attacker level | Acceso remoto con cuenta |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software |
Java 1.3.1 Java 1.4.2 Release 2 |
Description |
|
|
Se han descubierto múltiples vulnerabilidades en Java 1.3.1 y Java 1.4.2 Release 2, todas son especificas de su implementación en Mac OS X. Las vulnerabilidades son descritas a continuación: - CAN-2005-2527: Se ha descubierto una condición de carrera en Java 1.4.2. La explotación de esta vulnerabilidad puede provocar la corrupción de ficheros o a la creación de archivos arbitrarios. - CAN-2005-2528: Se ha descubierto una vulnerabilidad en Java 1.3.1 y Java 1.4.2 La vulnerabilidad reside en la creación insegura de ficheros en "privileged helper", utilidad usada para actualizar los archivos compartidos de Java. La explotación de esta vulnerabilidad puede provocar la corrupción de ficheros del sistema o a la creación de ficheros arbitrarios. Esta vulnerabilidad no afecta a sistemas anteriores a Mac OS X v10.4. - CAN-2005-2529: Se ha descubierto una vulnerabilidad en Java 1.4.2. La vulnerabilidad reside en la utilidad usada para actualizar los archivos compartidos de Java. Un usuario local podría usar esta vulnerabilidad para elevar sus privilegios. Esta vulnerabilidad no afecta a sistemas anteriores a Mac OS X v10.4. - CAN-2005-2530: Se ha descubierto una vulnerabilidad en Java 1.3.1. El origen de la vulnerabilidad es desconocido. Un applet no confiable podría elevar privilegios al usar las extensiones especificas de Mac OS X. Esta vulnerabilidad no afecta a sistemas anteriores a Mac OS X v10.4. - CAN-2005-2738: Se ha descubierto una vulnerabilidad en Java 1.4.2. La vulnerabilidad reside en que se puede abrir un mismo puerto para poner a escuchar diferentes "Java ServerSockets" sin que se genere un error. La explotación de esta vulnerabilidad podría permitir a un atacante local interceptar datos destinados a otra aplicación del sistema. Esta vulnerabilidad no afecta a sistemas anteriores a Mac OS X v10.4. |
|
Solution |
|
|
Actualización de software Apple Java version 1.3.1_16 Java 1.4.2 Release 2 http://www.apple.com/support/downloads/java131and142release2.html |
|
Standar resources |
|
| Property | Value |
| CVE |
CAN-2005-2527 CAN-2005-2528 CAN-2005-2529 CAN-2005-2530 CAN-2005-2738 |
| BID | |
Other resources |
|
|
Apple Security Update (302266) http://docs.info.apple.com/article.html?artnum=302266 Apple Security Update (302265) http://docs.info.apple.com/article.html?artnum=302265 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2005-09-20 |