Menú principal

lunes, 4 de julio de 2016

Vulnerabilidades en mDNSResponder afectan a Bonjour de Apple

La semana pasada se publicó que vulnerabilidades en mDNSResponder afectaban a sistemas de Apple. Existían múltiples vulnerabilidades en el software open source de mDNSResponder, el cual está implementado por Bonjour en Apple. Las vulnerabilidades descubiertas podrían permitir a un atacante ejecutar código arbitrario en las máquinas dónde se encontrase instalada la aplicación. El protocolo mDNS se puede leer bajo el RFC 6762 y está implementado por Apple Bonjour y servicios del sistema operativo Linux nss-mdns.

Las vulnerabilidades que afectan al producto no son del año 2016, si no del año 2015. La comprobación errónea del tamaño de un buffer, CVE-2015-7987, en las funciones GetValueForIPv4Addr(), GetValueForMACAddr(), rfc3110_import() y CopyNSEC3ResourceRecord(). Otra vulnerabilidad del año pasado y que se encuentra en este software es la CVE-2015-7988, la cual es una referencia a null pointer. Ambas podrían permitir a un potencial atacante ejecutar código arbitrario o provocar una denegación de servicio provocando el crasheo en memoria. Ambos problemas afectan a las versiones de mDNSResponder 379.27 y superiores, aunque inferiores a la versión 625.41.2.

Figura 1: Security Update for mDNSResponder

Apple decidió anunciar y publicar un aviso de seguridad para indicar estos problemas. Tal y como se puede ver en su anuncio, las versiones actuales de productos Apple utilizan una versión de Bonjour sin estos problemas, pero versiones anteriores sí estaban afectadas. Las versiones afectadas de OS X son:
  • Versiones anteriores a OS X El Capitan 10.11.1.
  • Versiones anteriores a OS X Yosemite 10.10.5.
  • Versiones anteriores a OS X Mavericks 10.9.5.
Las versiones anteriores a iOS 9.1, watchOS 2.1 y AirPort Base Station Framework anteriores a 7.7.7 y 7.6.7. Se recomienda que los usuarios actualicen sus sistemas operativos, tanto OS X como iOS, watchOS y AirPort con el objetivo de no ser vulnerable a estas vulnerabilidades de mDNSResponder.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Vente al "Security Innovation Day 2016: Let Security Be"

El Security Innovation Day es el evento desde el que Telefónica y ElevenPaths comparten los últimos lanzamientos y novedades en innovació...

Otras historias relacionadas

Entradas populares