Om sikkerhedsindholdet i Xcode-værktøjer 3.1
I dette dokument beskrives sikkerhedsindholdet i Xcode-værktøjer 14.3.
Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i "Sådan bruges PGP-nøglen til Apple Produktsikkerhed".
Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan læse mere om andre sikkerhedsopdateringer i "Apple-sikkerhedsopdateringer".
Xcode-værktøjer 3.1
CoreImage Examples
CVE-id: CVE-2008-2304
Fås til: Mac OS X v10.5.x
Effekt: Åbning af et Fun House-dokument kan medføre uventet applukning eller kørsel af vilkårlig kode
Beskrivelse: Xcode-værktøjer indeholder et eksempel på en app Core Image Fun House, som håndterer indhold med arkivendelsen ".funhouse". Et bufferoverløb kan opstå i denne app under behandling af ".funhouse"-arkiver. Åbning af et skadeligt ".funhouse"-arkiv kan medføre pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via forbedret kontrol af grænser. Tak til Kevin Finisterre fra Netragard, som har rapporteret problemet.
WebObjects
CVE-id: CVE-2008-2318
Fås til: Mac OS X v10.5.x
Effekt: WebObjects-sessions-id'er kan blive vist til andre websteder
Beskrivelse: WebObjects indeholder en API til at generere URL-adresser i HTML-dokumenter via det dynamiske element WOHyperlink. Når WOHyperlink bruges, er det altid afhængigt af et sessions-id for den genererede URL-adresse – selv for absolute URL-adresser. Brug af WOHyperlink til at oprette URL-adresser, som peger på andre websteder, kan føre til afsløring af den aktuelle brugers sessions-id over for disse websteder. Denne opdatering løser problemet ved kun at føje sessions-id'er til absolute URL-adresser, når det eksplicit anmodes.
Vigtigt: Oplysninger om produkter, der ikke er fremstillet af Apple, gives kun til orientering og udgør ikke Apples anbefaling eller godkendelse. Kontakt producenten for at få yderligere oplysninger.