AirPort Güncellemesi 2006-001 ve Güvenlik Güncellemesi 2006-005'in güvenlik içeriği hakkında
Bu belgede Yazılım Güncelleme tercihleri aracılığıyla veya Apple İndirilenler sayfasından indirilip yüklenebilen Güvenlik Güncellemesi 2006-005 ve AirPort Güncellemesi 2006-001'in güvenlik içeriği açıklanmaktadır.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.
Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.
AirPort Güncellemesi 2006-001 ve Güvenlik Güncellemesi 2006-005
AirPort
CVE-ID: CVE-2006-3507
İlgili sürümler: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.7, Mac OS X Server v10.4.7
Etki: Kablosuz ağdaki saldırganlar rastgele kod yürütülmesine neden olabilir.
Açıklama: AirPort kablosuz sürücüsünün hatalı oluşturulmuş çerçeveleri işlemesinde iki farklı yığın arabellek taşması sorunu var. Yakın çevredeki bir saldırgan, kablosuz ağa kötü amaçlarla oluşturulmuş bir çerçeve enjekte ederek bir bellek taşmasını tetikleyebilir. AirPort açık olduğunda bu, sistem ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir. Bu sorun, kablosuz bağlantıya sahip Power Mac, PowerBook, iBook, iMac, Mac Pro, Xserve ve PowerPC tabanlı Mac mini bilgisayarları etkiler. Intel tabanlı Mac mini, MacBook ve MacBook Pro bilgisayarlar bu sorundan etkilenmez. Bu sorundan kötü amaçlı olarak yararlanıldığına dair bir bilgi yoktur. Bu güncelleme, kablosuz çerçeveler için ek doğrulama gerçekleştirerek sorunları giderir.
AirPort
CVE-ID: CVE-2006-3508
İlgili sürümler: Mac OS X v10.4.7, Mac OS X Server v10.4.7
Etki: Kablosuz ağdaki saldırganlar sistemin çökmesine, ayrıcalık yükseltmeye veya rastgele kod yürütülmesine neden olabilir
Açıklama: AirPort kablosuz sürücüsünün tarama önbelleği güncellemelerini işlemesinde bir yığın arabellek taşması sorunu var. Yakın çevredeki bir saldırgan, kablosuz ağa kötü amaçlarla oluşturulmuş bir çerçeve enjekte ederek bu bellek taşmasını tetikleyebilir. Bu; sistemin çökmesine, ayrıcalık yükseltmeye veya sistem ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir. Bu sorun, kablosuz bağlantıya sahip Intel tabanlı Mac mini, MacBook ve MacBook Pro bilgisayarları etkiler. Power Mac, PowerBook, iBook, iMac, Mac Pro, Xserve ve PowerPC tabanlı Mac mini bilgisayarlar bu sorundan etkilenmez. Bu güncelleme, kablosuz çerçeveler için ek doğrulama gerçekleştirerek sorunu giderir. Bu sorundan kötü amaçlı olarak yararlanıldığına dair bir bilgi yoktur. Mac OS X 10.4 sürümü öncesindeki sistemler bu sorundan etkilenmez.
AirPort
CVE-ID: CVE-2006-3509
İlgili sürümler: Mac OS X v10.4.7, Mac OS X Server v10.4.7
Etki: Kablosuz ağdaki saldırganlar, kullanılan üçüncü taraf kablosuz yazılımına bağlı olarak çökmelere veya rastgele kod yürütülmesine neden olabilir
Açıklama: Airport kablosuz sürücüsünün üçüncü taraf kablosuz yazılımlara yönelik API'sinde bir tamsayı taşması sorunu var. Bu, API kullanımına dayanan uygulamalarda arabellek taşmasına neden olabilir. Şu ana kadar bu sorundan etkilendiği bilinen bir uygulama yoktur. Bir uygulamanın etkilenmesi halinde, yakın çevredeki bir saldırgan kablosuz ağa kötü niyetle hazırlanmış bir çerçeve enjekte ederek bir taşmayı tetikleyebilir. Bu, çökmelere neden olabilir veya uygulamayı çalıştıran kullanıcının ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir. Bu sorun, kablosuz bağlantıya sahip Intel tabanlı Mac mini, MacBook ve MacBook Pro bilgisayarları etkiler. Power Mac, PowerBook, iBook, iMac, Mac Pro, Xserve ve PowerPC tabanlı Mac mini bilgisayarlar bu sorundan etkilenmez. Bu güncelleme, kablosuz çerçeveler için ek doğrulama gerçekleştirerek bu sorunu giderir. Bu sorundan kötü amaçlı olarak yararlanıldığına dair bir bilgi yoktur. Mac OS X 10.4 sürümü öncesindeki sistemler bu sorundan etkilenmez.
Yükleme notu
Yazılım Güncelleme izlencesi, sistem konfigürasyonunuz için geçerli güncellemeyi sunar. AirPort Güncellemesi 2006-001 veya Güvenlik Güncellemesi 2006-005'ten yalnızca biri gereklidir.
Elle indirilen bir paketten yükleme yapıyorsanız referans için:
AirPort Güncellemesi 2006-001, aşağıdaki sistemlere yüklenebilir:
Mac OS X v10.4.7'nin 8J2135 veya 8J2135a geliştirmeleri
Güvenlik Güncellemesi 2006-005, aşağıdaki sistemlere yüklenebilir:
Mac OS X v10.3.9
Mac OS X Server v10.3.9
Mac OS X v10.4.7'nin 8J135, 8K1079, 8K1106, 8K1123 veya 8K1124 geliştirmeleri
Mac OS X Server v10.4.7'nin 8J135 veya 8K1079 geliştirmeleri
Mac OS X 10.3.9 ve Mac OS X Server 10.3.9 yüklü sistemlerde, Yazılım Güncelleme'de Güvenlik Güncellemesi 2006-005 görünmüyorsa aşağıdaki güncellemelerin yüklenmesi gerekir: