Boletines de Vulnerabilidades |
Múltiple vulnerabilidades en Java para Mac OS X |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de privilegios |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado |
Java 1.3.1 Java 1.4.2 Release 2 |
Descripción |
|
Se han descubierto múltiples vulnerabilidades en Java 1.3.1 y Java 1.4.2 Release 2, todas son especificas de su implementación en Mac OS X. Las vulnerabilidades son descritas a continuación: - CAN-2005-2527: Se ha descubierto una condición de carrera en Java 1.4.2. La explotación de esta vulnerabilidad puede provocar la corrupción de ficheros o a la creación de archivos arbitrarios. - CAN-2005-2528: Se ha descubierto una vulnerabilidad en Java 1.3.1 y Java 1.4.2 La vulnerabilidad reside en la creación insegura de ficheros en "privileged helper", utilidad usada para actualizar los archivos compartidos de Java. La explotación de esta vulnerabilidad puede provocar la corrupción de ficheros del sistema o a la creación de ficheros arbitrarios. Esta vulnerabilidad no afecta a sistemas anteriores a Mac OS X v10.4. - CAN-2005-2529: Se ha descubierto una vulnerabilidad en Java 1.4.2. La vulnerabilidad reside en la utilidad usada para actualizar los archivos compartidos de Java. Un usuario local podría usar esta vulnerabilidad para elevar sus privilegios. Esta vulnerabilidad no afecta a sistemas anteriores a Mac OS X v10.4. - CAN-2005-2530: Se ha descubierto una vulnerabilidad en Java 1.3.1. El origen de la vulnerabilidad es desconocido. Un applet no confiable podría elevar privilegios al usar las extensiones especificas de Mac OS X. Esta vulnerabilidad no afecta a sistemas anteriores a Mac OS X v10.4. - CAN-2005-2738: Se ha descubierto una vulnerabilidad en Java 1.4.2. La vulnerabilidad reside en que se puede abrir un mismo puerto para poner a escuchar diferentes "Java ServerSockets" sin que se genere un error. La explotación de esta vulnerabilidad podría permitir a un atacante local interceptar datos destinados a otra aplicación del sistema. Esta vulnerabilidad no afecta a sistemas anteriores a Mac OS X v10.4. |
|
Solución |
|
Actualización de software Apple Java version 1.3.1_16 Java 1.4.2 Release 2 http://www.apple.com/support/downloads/java131and142release2.html |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CAN-2005-2527 CAN-2005-2528 CAN-2005-2529 CAN-2005-2530 CAN-2005-2738 |
BID | |
Recursos adicionales |
|
Apple Security Update (302266) http://docs.info.apple.com/article.html?artnum=302266 Apple Security Update (302265) http://docs.info.apple.com/article.html?artnum=302265 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2005-09-20 |