关于 Bonjour for Windows 1.0.5 的安全内容
摘要
本文介绍了 Bonjour for Windows 1.0.5 的安全内容。您可以通过软件更新偏好设置或 Apple 下载进行下载和安装。
为保护我们的客户,在未进行详尽的调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请访问 Apple 产品安全性网站。
有关 Apple 产品安全性 PGP 密匙的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。
如果可能,请使用 CVE ID 来查阅漏洞的详细信息。
要了解有关其他安全性更新的信息,请参阅“Apple 安全性更新”。
受影响的产品
产品安全性
Bonjour for Windows 1.0.5
-
mDNSResponder
CVE-ID: CVE-2008-2326
适用于:Windows Vista、XP SP2 和 SP3、2003、2000
影响:解析有缺陷的“.local”域名可能会导致应用程序意外终止
描述:Bonjour 命名空间提供程序上存在空指针取消引用问题。解析包含长 DNS 标签的有缺陷的“.local”域名可能会导致应用程序意外终止。此更新通过执行 DNS 标签的附加验证,解决了该问题。此问题不会影响运行 Mac OS X 的系统。感谢 48bits.com 的 Mario Ballano 报告此问题。
-
mDNSResponder
CVE-ID: CVE-2008-3630
适用于:Windows Vista、XP SP2 和 SP3、2003、2000
影响:mDNSResponder 可能返回单址广播 DNS 查询的伪造信息
描述:Bonjour for Windows 可为 Windows 用户提供零配置网络、多址广播 DNS 以及网络服务搜索。也可以使用 Bonjour API 解决常规单址广播 DNS 查询问题。DNS 协议中的缺陷可能允许远程攻击者欺骗 DNS 响应。因此,如果存在将 Bonjour for Windows 用于单址广播 DNS 的应用程序,这些应用程序可能收到伪造的信息。但是,已知的应用程序都不可以将 Bonjour API 用于单址广播 DNS 主机名称解析。此更新通过实现源端口和事务 ID 的随机化以改进对欺骗攻击的适应性来解决此问题。此更改不会影响多址广播 DNS 解析。
其他信息
重要信息:有关非 Apple 制造的产品的信息仅供参考,不代表 Apple 的任何推荐或担保。有关其他信息,请联系供应商。