Bonjour for Windows 1.0.5 のセキュリティコンテンツについて

概要

この記事では、Bonjour for Windows 1.0.5 のセキュリティコンテンツについて説明します。このセキュリティアップデートは、システム環境設定の「ソフトウェアアップデート」パネル、またはソフトウェアアップデートページからダウンロードしてインストールできます。

アップルでは、ユーザ保護の観点から、徹底した調査が完了し必要なパッチやリリースが利用可能になるまで、セキュリティの問題に関して公開、説明または承認を行いません。アップル製品のセキュリティの詳細については、アップル製品のセキュリティを参照してください。

アップル製品のセキュリティの PGP キー情報については、「Apple Product Security PGP キーの使用方法」を参照してください。

CVE IDs でも、脆弱性に関する詳細な情報を参照できます。

その他のセキュリティアップデートについては、「セキュリティアップデートについて」を参照してください。

製品のセキュリティ

mDNSResponder

CVE-ID：CVE-2008-2326

対象となる OS バージョン：Windows Vista、XP SP2 および SP3、2003、2000

影響：悪意を持って作成された「.local」ドメイン名を解決すると、アプリケーションが予期せず終了する可能性がある。

説明：Bonjour Namespace Provider には、ヌルポインタが参照されるという問題があり、悪意を持って作成された、長い DNS ラベルの「.local」ドメイン名を解決すると、アプリケーションが予期せず終了する可能性があります。このアップデートでは、DNS ラベルの検証を強化することによって問題が解消されています。この問題は Mac OS X 搭載のシステムには影響しません。この問題の報告は 48bits.com の Mario Ballano 氏の功績によるものです。

mDNSResponder

CVE-ID：CVE-2008-3630

対象となる OS バージョン：Windows Vista、XP SP2 および SP3、2003、2000

影響：ユニキャスト DNS クエリに対して、mDNSResponder から誤った情報が返される可能性がある。

説明：Bonjour for Windows には、Windows ユーザ向けにゼロコンフィギュレーション・ネットワーク、マルチキャスト DNS、およびネットワークサービスの検出機能が備わっています。Bonjour API を使って、従来のユニキャスト DNS クエリを送信することもできます。DNSプロトコルの脆弱性によって、リモート攻撃者が DNS 応答を偽って欺く可能性があります。これにより、Bonjour for Windows のユニキャスト DNS を使うアプリケーションに誤った情報が送信される可能性がありますが、Bonjour API を使ってユニキャスト DNS ホスト名を解決するアプリケーションはありません。このアップデートでは、ソースポートのランダム化を実装して、なりすまし攻撃に対する耐性を高めることで、この問題が解消されています。この変更はマルチキャスト DNS の解決には影響がありません。

重要:アップル製以外の製品に関する情報は、単なる情報としてのみ提供されるものであり、アップル社による推奨や保証の対象にはなりません。詳しくは、ベンダーに関する情報を見つけるを参照してください。

この記事を評価する: