Сведения о проблемах системы безопасности, устраняемых в обновлении AirPort 2006-001 и обновлении системы безопасности 2006-005
В этом документе приводятся сведения о проблемах системы безопасности, устраняемых в обновлении AirPort 2006-001 и обновлении системы безопасности 2006-005, которые можно загрузить и установить в разделе настроек Обновление ПО или разделе загрузок Apple.
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.
Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
Обновление AirPort 2006-001 и обновление системы безопасности 2006-005
AirPort
Идентификатор CVE: CVE-2006-3507
Целевые продукты: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.7, Mac OS X Server 10.4.7
Воздействие. Злоумышленники в беспроводной сети могут выполнить произвольный код.
Описание. При обработке драйвером маршрутизатора AirPort фреймов возникает два отдельных переполнения буфера стека. Злоумышленник, находящийся в непосредственной близости, может спровоцировать переполнение, добавив в беспроводную сеть вредоносный фрейм. Когда маршрутизатор AirPort включен, это может привести к выполнению произвольного кода с системными привилегиями. Проблема затрагивает устройства Power Mac, PowerBook, iBook, iMac, Mac Pro, Xserve и Mac mini с процессором PowerPC, оснащенные модулем беспроводной связи. Проблема не затрагивает Mac mini с процессором Intel, MacBook и MacBook Pro. Информация об использовании этой уязвимости злоумышленниками отсутствует. В этом обновлении проблемы устранены посредством выполнения дополнительной проверки фреймов беспроводной сети.
AirPort
Идентификатор CVE: CVE-2006-3508
Целевые продукты: Mac OS X 10.4.7, Mac OS X Server 10.4.7
Воздействие. Злоумышленники в беспроводной сети могут вызвать сбои системы, повысить уровень привилегий или выполнить произвольный код.
Описание. При обработке обновлений кэша сканирования драйвером маршрутизатора AirPort возникает переполнение буфера динамической памяти. Злоумышленник, находящийся в непосредственной близости, может спровоцировать переполнение, добавив в беспроводную сеть вредоносный фрейм. Это может привести к сбоям системы, повышению уровня привилегий или выполнению произвольного кода с системными привилегиями. Проблема затрагивает устройства Mac mini с процессором Intel, MacBook и MacBook Pro, оснащенные модулем беспроводной связи. Проблема не затрагивает Power Mac, PowerBook, iBook, iMac, Mac Pro, Xserve и Mac mini с процессором PowerPC. Это обновление устраняет проблему за счет выполнения дополнительной проверки фреймов беспроводной сети. Информация об использовании этой уязвимости злоумышленниками отсутствует. Эта проблема не возникает в операционных системах, предшествующих Mac OS X 10.4.
AirPort
Идентификатор CVE: CVE-2006-3509
Целевые продукты: Mac OS X 10.4.7, Mac OS X Server 10.4.7
Воздействие. В зависимости от используемого ПО для беспроводной связи, злоумышленники в беспроводной сети могут вызвать сбои системы или выполнить произвольный код.
Описание. В API драйвера маршрутизатора Airport для стороннего ПО для беспроводной связи возникает проблема целочисленного переполнения. Это может привести к переполнению буфера в приложениях, зависящих от использования API. Информация о затронутых приложениях на данный момент отсутствует. Если приложение затронуто, злоумышленник, находящийся в непосредственной близости, может спровоцировать переполнение, добавив в беспроводную сеть вредоносный фрейм. Это может привести к сбоям системы или выполнению произвольного кода с привилегиями пользователя, запустившего приложение. Проблема затрагивает устройства Mac mini с процессором Intel, MacBook и MacBook Pro, оснащенные модулем беспроводной связи. Проблема не затрагивает Power Mac, PowerBook, iBook, iMac, Mac Pro, Xserve и Mac mini с процессором PowerPC. В этом обновлении проблемы устранены посредством выполнения дополнительной проверки фреймов беспроводной сети. Информация об использовании этой уязвимости злоумышленниками отсутствует. Эта проблема не возникает в операционных системах, предшествующих Mac OS X 10.4.
Примечание по установке
В разделе «Обновление ПО» отобразится обновление именно для вашей системы. Необходимо установить только одно: обновление AirPort 2006-001 или обновление системы безопасности 2006-005.
Если вы устанавливаете обновление из пакета, загруженного вручную, следуйте указаниям ниже.
Обновление AirPort 2006-001 устанавливается на устройствах с такими системами:
Mac OS X 10.4.7 (сборка 8J2135 или 8J2135a)
Обновление системы безопасности 2006-005 устанавливается на устройствах с такими системами:
Mac OS X 10.3.9
Mac OS X Server 10.3.9
Mac OS X 10.4.7 (сборка 8J135, 8K1079, 8K1106, 8K1123 или 8K1124)
Mac OS X Server 10.4.7 (сборка 8J135 или 8K1079)
Если в Mac OS X 10.3.9 и Mac OS X Server 10.3.9 в разделе «Обновление ПО» не отображается обновление системы безопасности 2006-005, необходимо установить такие обновления: