เกี่ยวกับรายการอัปเดตความปลอดภัย 2009-004
เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของรายการอัปเดตความปลอดภัย 2009-004
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์
ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้
ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่ "รายการอัปเดตความปลอดภัยของ Apple"
รายการอัปเดตความปลอดภัย 2009-004
BIND
CVE-ID: CVE-2009-0696
มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
ผลกระทบ: ผู้โจมตีระยะไกลอาจทําให้เซิร์ฟเวอร์ DNS ยุติการทำงานโดยไม่คาดคิด
คําอธิบาย: ปัญหาตรรกะในการจัดการข้อความอัปเดต DNS แบบไดนามิกอาจทำให้เกิด Assertion ผู้โจมตีระยะไกลอาจสามารถขัดขวางบริการ BIND ได้ด้วยการส่งข้อความอัปเดตที่ออกแบบมาเพื่อประสงค์ร้ายไปยังเซิร์ฟเวอร์ BIND DNS ปัญหานี้ส่งผลกระทบต่อเซิร์ฟเวอร์ที่เป็นมาสเตอร์สําหรับหนึ่งโซนหรือมากกว่า ไม่ว่าจะยอมรับการอัปเดตหรือไม่ก็ตาม BIND รวมอยู่ใน Mac OS X และ Mac OS X Server แต่ไม่ได้เปิดใช้งานโดยค่าเริ่มต้น รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปฏิเสธข้อความอย่างเหมาะสมด้วยบันทึกประเภท 'ANY' ซึ่งมีการระบุ Assertion ไว้ล่วงหน้า