אודות עדכון אבטחה 2009-004

מסמך זה מתאר את תוכן האבטחה הכלול בעדכון אבטחה ‎2009-004.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא "כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא "עדכוני אבטחה של Apple."

עדכון אבטחה 2009-004

• BIND

  CVE-ID: CVE-2009-0696

  זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8

  השפעה: תוקף מרוחק עלול לגרום לניתוק לא צפוי של שרת ה-DNS

  תיאור: בעיית לוגיקה בטיפול בהודעות עדכון DNS דינמיות עלולה לגרום להפעלת טענת נכונות. תוקף מרוחק יוכל לשבש את שירות BIND על ידי שליחה של הודעת עדכון זדונית אל שרת ה-DNS של BIND. בעיה זו משפיעה על שרתים המתפקדים כמאסטר לאזור אחד או יותר, גם אם אינם מקבלים עדכונים. BIND כלול ב-Mac OS X וב-Mac OS X Server אך כברירת מחדל אינו מופעל. עדכון זה מטפל בבעיה על ידי דחייה הולמת של הודעות עם רשומה מסוג ANY, במקום שבעבר היה גורם ליצירת טענת נכונות.