À propos du contenu sécuritaire de Bonjour pour Windows 1.0.5

Bonjour pour Windows 1.0.5

• mDNSResponder

  CVE-ID : CVE-2008-2326

  Disponible pour : Windows Vista, XP SP2 et SP3, 2003, 2000

  Impact : la résolution d'un nom de domaine nommé ".local" par erreur peut causer l'arrêt inopiné d'une application.

  Description : un problème de déréférence de pointeur nul quitte le fournisseur de l'espace nom Bonjour. La résolution d'un nom de domaine contenant une longue étiquette DNS, nommé ".local" par erreur, peut causer l'arrêt inopiné d'une application. Cette mise à jour résout le problème en réalisant des validations supplémentaires des étiquettes DNS. Ce problème est déjà résolu pour les systèmes exécutant Mac OS X. Nous remercions Mario Ballano de 48bits.com de nous avoir signalé ce problème.

• mDNSResponder

  CVE-ID : CVE-2008-3630

  Disponible pour : Windows Vista, XP SP2 et SP3, 2003, 2000

  Impact : mDNSResponder peut retourner de fausses informations pour les requêtes DNS à diffusion unique.

  Description : Bonjour pour Windows fournit Zero Configuration Networking, Multicast DNS et Network Service Discovery aux utilisateurs Windows. Il est également possible d'utiliser l'API Bonjour pour diffuser des requêtes DNS conventionnelle de manière individuelle. Une faiblesse dans le protocole DNS peut permettre à un attaquant à distance de modifier les réponses DNS. Par conséquent, s'il existe des applications qui utilisent Bonjour pour Windows pour des DNS individuelles, ces applications peuvent recevoir de fausses informations. Toutefois, il n'existe aucune application utilisant les API Bonjour pour la résolution du nom d'hôte DNS à diffusion individuelle. Cette mise à jour résout le problème en appliquant la randomisation de ports sources et de l'ID de transaction permettant d'améliorer la tolérance aux attaques de falsification. Ce changement n'affecte pas la résolution DNS multidiffusion.