關於 Bonjour for Windows 1.0.5 的安全性內容

  • 最後更新: 15 九月, 2008
  • 文章: HT2990

摘要

此文件描述了 Bonjour for Windows 1.0.5 的安全性內容,可透過軟體更新偏好設定,或從 Apple 下載進行下載和安裝。

為了保護客戶利益,在執行完整調查並且可以使用所有必要的修補程式或發行版本之前,Apple 不會洩漏、討論或確認安全性問題。若要瞭解有關「Apple 產品安全性」的更多資訊,請造訪 Apple 產品安全性網站。

如需有關「Apple 產品安全性 PGP 金鑰」的資訊,請參閱<如何使用 Apple 品安全性 PGP 金鑰>。

如有可能,可以使用 CVE ID 參閱有關漏洞的進一步資訊。

若要瞭解其他「安全性更新」,請參閱<Apple 安全性更新>。

受影響的產品

產品安全性

Bonjour for Windows 1.0.5

  • mDNSResponder

    CVE-ID: CVE-2008-2326

    適用於:Windows Vista、XP SP2 和 SP3、2003、2000

    影響:解析惡意製作的「.local」網域名稱可能會導致非預期的應用程式終止。

    說明:Bonjour 命名空間提供者中存在 null 指標解除問題。解析包含較長 DNS 標籤的惡意製作的「.local」網域名稱時,可能會導致非預期的應用程式終止。此更新可執行額外的 DNS 標籤驗證,藉以解決問題。此問題不會影響執行 Mac OS X 的系統。感謝 48bits.com 的 Mario Ballano 報告此問題。

  • mDNSResponder

    CVE-ID: CVE-2008-3630

    適用於:Windows Vista、XP SP2 和 SP3、2003、2000

    影響:mDNSResponder 可能會傳回單點傳播 DNS 查詢的偽造資訊

    說明:Bonjour for Windows 可提供 Zero Configuration Networking、Multicast DNS 與 Network Service Discovery 給 Windows 使用者。也可使用 Bonjour API 簽發傳統的單點傳播 DNS 查詢。DNS 通訊協定中的弱點可能會讓遠端攻擊者得以假冒 DNS 回應。因此,如果有應用程式使用 Bonjour for Windows 進行單點傳播 DNS,則那些應用程式可能會收到偽造的資訊。但是,在已知的應用程式中,並沒有使用 Bonjour API 進行單點傳播 DNS 主機名稱解析的程式。此更新可執行隨機配置來源連接埠與交易識別碼,提升遭受假冒攻擊後的恢復能力,藉以解決問題。此更改不會影響多點傳播 DNS 解析。

其他資訊

重要事項:非 Apple 製造之產品資訊僅供參考之用,不構成 Apple 之建議或背書。如需其他資訊,請聯絡供應商