Tietoja Bonjour for Windows 1.0.5 -turvallisuussisällöstä
Yhteenveto
Tässä asiakirjassa kuvataan Bonjour for Windows 1.0.5:n turvallisuussisältö. Päivitys voidaan ladata ja asentaa Ohjelmiston päivittäminen -asetusten avulla tai Apple Downloads -sivustosta.
Suojellakseen asiakkaitaan Apple ei paljasta tai anna tietoja tietoturvaongelmista tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa "Miten käytetään Applen tuoteturvallisuuden PGP-avainta".
CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viitteinä haavoittuvuuksien lisätietoihin.
Tietoja muista turvallisuuspäivityksistä on artikkelissa "Applen turvallisuuspäivitykset".
Tuotteet, joita asia koskee
Tuoteturvallisuus
Bonjour for Windows 1.0.5
-
mDNSResponder
CVE-ID: CVE-2008-2326
Saatavana seuraaviin käyttöjärjestelmiin: Windows Vista, XP SP2 ja SP3, 2003, 2000
Vaikutus: Vahingoittamistarkoituksessa määritetyn ".local" -toimialuenimen selvittäminen voi aiheuttaa sovelluksen odottamattoman lopettamisen.
Kuvaus: Bonjour-nimitilan palvelutoimittajan nollaosoittimen epäviittausongelma. Vahingoittamistarkoituksessa määritetyn ".local"-toimialuenimen, jolla on pitkä DNS-nimi, ratkaiseminen voi aiheuttaa sovelluksen odottamattoman lopettamisen. Tämä päivitys ratkaisee ongelman DNS-nimien lisävarmistuksen avulla. Tämä ongelma ei vaikuta järjestelmiin, joissa on Mac OS X -käyttöjärjestelmä. Kiitos 48bits.comin Mario Ballanolle tästä ongelmasta ilmoittamisesta.
-
mDNSResponder
CVE-ID: CVE-2008-3630
Saatavana seuraaviin käyttöjärjestelmiin: Windows Vista, XP SP2 ja SP3, 2003, 2000
Vaikutus: mDNSResponder voi palauttaa väärennettyjä tietoja DNS-yksittäislähetyskyselyistä
Kuvaus: Bonjour for Windows -ohjelma sisältää Zero Configuration Networking-, Multicast DNS- ja Network Service Discovery -toiminnot Windows-käyttäjille. Bonjour API -liittymää on mahdollista käyttää myös DNS-yksittäislähetysperuskyselyjen lähettämiseen. DNS-protokollan heikkous voi sallia etähyökkääjän tekeytymisen DNS-vastauksiksi. Tämän seurauksena, jos käytössä on sovelluksia, jotka käyttävät Bonjour for Windows -ohjelmaa DNS-yksittäislähetyksissä, kyseessä olevat sovellukset voivat saada väärennettyjä tietoja. Tiedossa ei kuitenkaan ole tunnettuja sovelluksia, jotka käyttäisivät Bonjour API -liittymiä DNS-yksittäislähetysisäntänimeä ratkaisuna. Tämä päivitys korjaa ongelman satunnaistamalla lähdeportin ja tapahtumatunnuksen, mikä auttaa parantamaan järjestelmän vastustuskykyä saastutushyökkäyksiä vastaan. Tämä muutos ei vaikuta DNS-monilähetysratkaisuun.
Lisätietoja
Tärkeää: Muita kuin Applen valmistamia tuotteita koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue kyseisiä tuotteita. Jos haluat lisätietoja, ota yhteyttä toimittajaan.