发布日期：2007-05-24
更新日期：2007-06-21

受影响系统：

Apple Mac OS X <= 10.4.9
Apple TV 1.0

不受影响系统：

Apple TV 1.1

描述：

---

BUGTRAQ  ID: 24159
CVE(CAN) ID: CVE-2007-2386

Mac OS X是苹果家族机器所使用的操作系统。

Mac OS X的mDNSResponder实现中用于创建到用户路由器动态端口映射的UPnP IGD代码中存在缓冲区溢出漏洞，如果向有漏洞的系统发送了恶意的UPnP IGD报文的话，就可以触发这个溢出，导致拒绝服务或执行任意指令。

<*来源：Michael Lynn
  
  链接：http://www.kb.cert.org/vuls/id/221876
        http://lists.immunitysec.com/pipermail/dailydave/2007-May/004360.html
        http://secunia.com/advisories/25402/
        http://docs.info.apple.com/article.html?artnum=305530
        http://docs.info.apple.com/article.html?artnum=305631
        http://secunia.com/advisories/25745/
*>

建议：

---

临时解决方法：

* 过滤到5353/UDP和1900/UDP端口的访问。

厂商补丁：

Apple
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=13995&cat=1&platform=osx&method=sa/SecUpd2007-005Ti.dmg
http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=13998&cat=1&platform=osx&method=sa/SecUpd2007-005Univ.dmg

浏览次数：3845
严重程度：0（网友投票）