Tietoja AirPort-päivitys 2006-001:n turvallisuussisällöstä ja suojauspäivityksestä 2006-005
Tässä dokumentissa kerrotaan suojauspäivitys 2006-005:stä ja AirPort-päivitys 2006-001:n turvallisuussisällöstä. Päivitykset voi ladata ja asentaa ohjelmistopäivitysasetuksista tai Applen lataussivustosta.
Apple haluaa suojella asiakkaitaan eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
AirPort-päivitys 2006-001 ja suojauspäivitys 2006-005
AirPort
CVE-tunnus: CVE-2006-3507
Saatavuus: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.7, Mac OS X Server 10.4.7
Vaikutus: hyökkääjät langattomassa verkossa saattoivat aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: AirPortin langattoman ohjaimen epämuotoisten kehysten käsittelyssä oli kaksi eri pinon puskurin ylivuotovirhettä. Lähellä oleva hyökkääjä saattoi pystyä aiheuttamaan ylivuotovirheen lisäämällä haitallisen kehyksen langattomaan verkkoon. Kun AirPort oli käytössä, tämä saattoi johtaa mielivaltaisen koodin suorittamiseen järjestelmän käyttöoikeuksilla. Tämä ongelma vaikuttaa Power Mac-, PowerBook-, iBook-, iMac-, Mac Pro-, Xserve- ja PowerPC-pohjaisiin Mac mini -tietokoneisiin, joissa on langaton yhteys. Ongelma ei vaikuta Intel-pohjaisiin Mac mini-, MacBook- ja MacBook Pro -tietokoneisiin. Ongelman ei tiedetä vaikuttavan haitallisesti. Tämä päivitys ratkaisee ongelmat suorittamalla langattomien kehysten lisävalidoinnin.
AirPort
CVE-tunnus: CVE-2006-3508
Saatavuus: Mac OS X 10.4.7, Mac OS X Server 10.4.7
Vaikutus: hyökkääjät langattomassa verkossa saattoivat pystyä aiheuttamaan järjestelmän kaatumisen, käyttöoikeuksien muutoksen tai mielivaltaisen koodin suorittamisen.
Kuvaus: AirPortin langattoman ohjaimen skannausvälimuistin käsittelyssä oli kekopuskurin ylivuoto. Lähellä oleva hyökkääjä saattoi pystyä aiheuttamaan ylivuotovirheen lisäämällä haitallisen kehyksen langattomaan verkkoon. Tämä saattoi aiheuttaa järjestelmän kaatumisen, käyttöoikeuksien muutoksen tai mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla. Tämä ongelma vaikuttaa Intel-pohjaisiin Mac mini-, MacBook- ja MacBook Pro -tietokoneisiin, joissa on langaton yhteys. Ongelma ei vaikuta Power Mac-, PowerBook-, iBook-, iMac-, Mac Pro-, Xserve- ja PowerPC-pohjaisiin Mac mini -tietokoneisiin. Tämä päivitys ratkaisee ongelman suorittamalla langattomien kehysten lisävalidoinnin. Ongelman ei tiedetä vaikuttavan haitallisesti. Tämä ongelma ei vaikuta Mac OS X 10.4:ää edeltäviin järjestelmiin.
AirPort
CVE-tunnus: CVE-2006-3509
Saatavuus: Mac OS X 10.4.7, Mac OS X Server 10.4.7
Vaikutus: käytössä olevasta kolmannen osapuolen langattomasta ohjelmistosta riippuen hyökkääjät langattomassa verkossa saattoivat pystyä aiheuttamaan järjestelmän kaatumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: AirPortin langattoman ohjaimen API:ssa kolmannen osapuolen langattomalle ohjelmistolle oli kokonaisluvun ylivuoto. Tämä saattoi johtaa puskurin ylivuotoon API:n käytöstä riippuvaisissa apeissa. Tämän ei tiedetä vaikuttavan appeihin tällä hetkellä. Jos ongelma vaikutti appiin, lähellä oleva hyökkääjä saattoi pystyä aiheuttamaan ylivuotovirheen lisäämällä haitallisen kehyksen langattomaan verkkoon. Ongelma saattoi aiheuttaa kaatumisia tai mielivaltaisen koodin suorittamisen appia käyttävän käyttäjän käyttöoikeuksilla. Tämä ongelma vaikuttaa Intel-pohjaisiin Mac mini-, MacBook- ja MacBook Pro -tietokoneisiin, joissa on langaton yhteys. Ongelma ei vaikuta Power Mac-, PowerBook-, iBook-, iMac-, Mac Pro-, Xserve- ja PowerPC-pohjaisiin Mac mini -tietokoneisiin. Tämä päivitys ratkaisee ongelmat suorittamalla langattomien kehysten lisävalidoinnin. Ongelman ei tiedetä vaikuttavan haitallisesti. Tämä ongelma ei vaikuta Mac OS X 10.4:ää edeltäviin järjestelmiin.
Asennusilmoitus
Ohjelmistopäivitystyökalu tarjoaa päivityksen järjestelmän määritystesi mukaisesti. Vain yksi päivitys tarvitaan, joko AirPort-päivitys 2006-001 tai suojauspäivitys 2006-005.
Lisätiedoksi, jos asennus tapahtuu manuaalisesti ladatusta paketista:
AirPort-päivitys 2006-001 asennetaan seuraaviin järjestelmiin:
Mac OS X 10.4.7 koonnos 8J2135 tai 8J2135a
Suojauspäivitys 2006-005 asennetaan seuraaviin järjestelmiin:
Mac OS X 10.3.9
Mac OS X Server 10.3.9
Mac OS X 10.4.7 koonnos 8J135, 8K1079, 8K1106, 8K1123 tai 8K1124
Mac OS X Server 10.4.7 koonnos 8J135 tai 8K1079
Jos ohjelmistopäivitys ei näytä suojauspäivitystä 2006-005 Mac OS X 10.3.9- ja Mac OS X Server 10.3.9 -järjestelmille, seuraavat päivitykset täytyy asentaa: