Informazioni sul contenuto di sicurezza di Xcode 4.4
In questo documento viene descritto il contenuto di sicurezza di Xcode 4.4.
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni, consulta il sito web sulla sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta "Come usare la chiave PGP per la sicurezza dei prodotti Apple".
Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza, consulta "Aggiornamenti di sicurezza Apple".
Xcode 4.4
neon
Disponibile per: OS X Lion 10.7.4 e versioni successive
Impatto: un malintenzionato potrebbe essere in grado di decodificare i dati protetti con SSL
Descrizione: esistono noti attacchi sulla riservatezza di SSL 3.0 e TLS 1.0 quando una suite di codice utilizza un codice di blocco nella modalità CBC. La libreria neon (utilizzata da Subversion) disabilita il "frammento vuoto" come contromisura per evitare questi attacchi. Il problema viene risolto abilitando la contromisura.
CVE-ID
CVE-2011-3389
Xcode
Disponibile per: OS X Lion 10.7.4 e versioni successive
Impatto: gli strumenti di supporto integrati in Xcode consentono a qualsiasi applicazione dell'App Store di leggere le voci dei propri portachiavi
Descrizione: tutti i programmi firmati contengono un requisito designato (DR) in cui si afferma, dal punto di vista dello sviluppatore del programma, quali sono i vincoli che un programma deve rispettare per essere considerato un'istanza di questo programma. Quando un ID sviluppatore viene utilizzato con Xcode per firmare un prodotto sprovvisto di identificatore bundle, come ad esempio uno strumento della riga di comando o uno strumento di supporto integrato, il DR generato per il prodotto non include l'ID sviluppatore nella parte del DR applicabile per le applicazioni firmate dall'App Store. Di conseguenza, qualsiasi applicazione dell'App Store potrebbe avere accesso agli elementi del portachiavi creati dal prodotto. Il problema viene risolto generando un DR con controlli migliori. I prodotti interessati devono essere firmati nuovamente con questa versione di Xcode al fine di includere il DR migliorato.
CVE-ID
CVE-2012-3698
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.