Giới thiệu về nội dung bảo mật của Bản cập nhật AirPort 2006-001 và Bản cập nhật bảo mật 2006-005

Tài liệu này mô tả Bản cập nhật bảo mật 2006-005 và nội dung bảo mật trong Bản cập nhật AirPort 2006-001 mà bạn có thể tải xuống và cài đặt thông qua tùy chọn Cập nhật phần mềm hoặc từ mục Tải xuống của Apple.

Nhằm bảo vệ khách hàng, Apple không tiết lộ, thảo luận hay xác nhận các vấn đề về bảo mật chừng nào chưa điều tra triệt để cũng như chưa có các bản vá hoặc bản phát hành cần thiết. Để tìm hiểu thêm về việc Bảo mật sản phẩm Apple, hãy truy cập trang web Bảo mật sản phẩm Apple.

Để tìm hiểu thông tin về Khóa PGP Bảo mật sản phẩm Apple, hãy xem bài viết "Cách sử dụng Khóa PGP Bảo mật sản phẩm Apple".

Nếu có thể, hãy tham chiếu các lỗ hổng bảo mật theo Mã số định danh lỗ hổng bảo mật (Common Vulnerabilities and Exposures ID, CVE-ID) để biết thêm thông tin.

Để tìm hiểu về các Bản cập nhật bảo mật khác, hãy xem bài viết "Bản cập nhật bảo mật của Apple".

Bản cập nhật AirPort 2006-001 và Bản cập nhật bảo mật 2006-005

  • AirPort

    CVE-ID: CVE-2006-3507

    Phạm vi áp dụng: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.7, Mac OS X Server v10.4.7

    Tác động: Kẻ tấn công trên mạng không dây có thể khiến mã được thực thi tùy ý

    Mô tả: Tồn tại hai sự cố tràn bộ đệm ngăn xếp riêng biệt trong chức năng xử lý khung dị hình của trình điều khiển không dây AirPort. Kẻ tấn công ở vùng lân cận cục bộ có thể kích hoạt lỗi tràn bộ nhớ đệm bằng cách chèn một khung độc hại vào mạng không dây. Khi AirPort được bật, điều này có thể khiến mã được thực thi tùy ý kèm theo các đặc quyền hệ thống. Sự cố này ảnh hưởng đến Power Mac, PowerBook, iBook, iMac, Mac Pro, Xserve và máy tính Mac mini chạy PowerPC được trang bị mạng không dây. Máy tính Mac mini, MacBook và MacBook Pro chạy trên nền tảng Intel không bị ảnh hưởng. Chưa phát hiện cuộc tấn công khai thác nào đối với sự cố này. Bản cập nhật này khắc phục các sự cố này bằng cách thực hiện xác thực bổ sung các khung không dây.

  • AirPort

    CVE-ID: CVE-2006-3508

    Phạm vi áp dụng: Mac OS X v10.4.7, Mac OS X Server v10.4.7

    Tác động: Kẻ tấn công trên mạng không dây có thể làm sập hệ thống, giành đặc quyền cao hơn hoặc thực thi mã tùy ý

    Mô tả: Tồn tại một sự cố tràn bộ đệm heap trong chức năng xử lý bản cập nhật bộ nhớ đệm quét của trình điều khiển không dây AirPort. Kẻ tấn công ở vùng lân cận cục bộ có thể kích hoạt sự cố tràn bộ đệm bằng cách chèn một khung độc hại vào mạng không dây. Điều này có thể khiến hệ thống bị sấp, giành đặc quyền cao hơn hoặc thực thi mã tùy ý kèm theo các đặc quyền hệ thống. Sự cố này ảnh hưởng đến máy tính Mac mini, MacBook và MacBook Pro chạy trên nền tảng Intel được trang bị mạng không dây. Power Mac, PowerBook, iBook, iMac, Mac Pro, Xserve và máy tính Mac mini chạy trên nền tảng PowerPC không bị ảnh hưởng. Bản cập nhật này khắc phục sự cố bằng cách thực hiện xác thực bổ sung các khung không dây. Chưa phát hiện cuộc tấn công khai thác nào đối với sự cố này. Sự cố này không ảnh hưởng đến các hệ thống được phát hành trước hệ thống Mac OS X v10.4.

  • AirPort

    CVE-ID: CVE-2006-3509

    Phạm vi áp dụng: Mac OS X v10.4.7, Mac OS X Server v10.4.7

    Tác động: Tùy thuộc vào phần mềm không dây của bên thứ ba đang sử dụng, kẻ tấn công trên mạng không dây có thể làm sập hệ thống hoặc thực thi mã tùy ý

    Mô tả: Tồn tại một sự cố tràn số nguyên trong API dành cho phần mềm không dây bên thứ ba của trình điều khiển không dây Airport. Điều này có thể dẫn đến tràn bộ đệm trong các ứng dụng phụ thuộc vào việc sử dụng API. Chưa phát hiện ứng dụng nào bị ảnh hưởng tại thời điểm này. Nếu có ứng dụng bị ảnh hưởng thì kẻ tấn công ở vùng lân cận cục bộ có thể kích hoạt lỗi tràn bộ nhớ bằng cách chèn một khung độc hại vào mạng không dây. Điều này có thể làm sập hệ thống hoặc dẫn đến việc thực thi mã tùy ý với đặc quyền của người dùng đang chạy ứng dụng. Sự cố này ảnh hưởng đến máy tính Mac mini, MacBook và MacBook Pro chạy trên nền tảng Intel được trang bị mạng không dây. Power Mac, PowerBook, iBook, iMac, Mac Pro, Xserve và máy tính Mac mini chạy trên nền tảng PowerPC không bị ảnh hưởng. Bản cập nhật này khắc phục các sự cố này bằng cách thực hiện xác thực bổ sung các khung không dây. Chưa phát hiện cuộc tấn công khai thác nào đối với sự cố này. Sự cố này không ảnh hưởng đến các hệ thống được phát hành trước hệ thống Mac OS X v10.4.

Ghi chú cài đặt

Tiện ích Cập nhật phần mềm sẽ hiển thị bản cập nhật áp dụng cho cấu hình hệ thống của bạn. Chỉ cần một Bản cập nhật AirPort 2006-001 hoặc Bản cập nhật bảo mật 2006-005 là đủ.

Để tham khảo, nếu cài đặt từ gói được tải xuống thủ công:

Bản cập nhật AirPort 2006-001 sẽ cài đặt trên các hệ thống sau:

  • Mac OS X v10.4.7 Bản dựng 8J2135 hoặc 8J2135a

Bản cập nhật bảo mật 2006-005 sẽ cài đặt trên các hệ thống sau:

  • Mac OS X v10.3.9

  • Mac OS X Server v10.3.9

  • Mac OS X v10.4.7 Bản dựng 8J135, 8K1079, 8K1106, 8K1123 hoặc 8K1124

  • Mac OS X Server v10.4.7 Bản dụng 8J135 hoặc 8K1079

Đối với hệ thống Mac OS X 10.3.9 và Mac OS X Server 10.3.9, nếu tiện ích Cập nhật phần mềm không hiển thị Bản cập nhật bảo mật 2006-005 thì cần phải cài đặt các bản cập nhật sau:

Apple không đề xuất hay chứng thực thông tin về các sản phẩm không do Apple sản xuất hoặc các trang web độc lập không chịu sự kiểm soát hay kiểm tra của Apple. Apple không chịu trách nhiệm về việc lựa chọn, hiệu suất hay việc sử dụng trang web hoặc sản phẩm của bên thứ ba. Apple không đưa ra tuyên bố nào về tính chính xác hay độ tin cậy của trang web bên thứ ba. Liên lạc với nhà cung cấp để biết thêm thông tin.

Ngày đăng: