Om sikkerheden i Xcode tools 3.1

  • Dato for seneste ændring: 22 juli, 2008
  • Artikel: HT2352

Oversigt

Dette dokument beskriver sikkerhedsindholdet i Xcode tools 3.1.

For at beskytte vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple Produktsikkerhed, kan du besøge webstedet Apple Produktsikkerhed.

Gå til "Sådan bruges PGP-nøglen til Apple Produktsikkerhed" for at få oplysninger om PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, anvendes CVE-ID'er til at angive sikkerhedshullerne for yderligere oplysninger.

Gå til "Apple Sikkerhedsopdateringer", hvis du vil læse om andre sikkerhedsopdateringer.

Berørte produkter

Produktsikkerhed

Xcode tools 3.1

  • CoreImage-eksempler

    CVE-ID: CVE-2008-2304

    Findes til: Mac OS X v10.5.x

    Effekt: Hvis du åbner et Fun House-dokument, kan det føre til programnedbrud eller afvikling af vilkårlig kode

    Beskrivelse: Xcode tools indeholder et eksempelprogram kaldet Core Image Fun House, der behandler indhold med arkivendelsen ".funhouse". Der kan opstå et bufferoverløb i programmet ved behandling af ".funhouse"-arkiver. Åbning af et "funhouse"-arkiv med skadelig software kan føre til uventet programnedbrud eller afvikling af vilkårlig kode. Denne opdatering løser problemet gennem en forbedret kontrol af grænser. Tak til Kevin Finisterre fra Netragard, som har rapporteret dette problem.

  • WebObjects

    CVE-ID: CVE-2008-2318

    Findes til: Mac OS X v10.5.x

    Effekt: WebObjects session-id'er kan blive røbet til andre websteder

    Beskrivelse: WebObjects indeholder en API, der fremstiller URL-adresser i HTML-dokumenter via det dynamiske element WOHyperlink. Når WOHyperlink bruges, vedføjer det altid en session-id til den fremstillede URL-adresse, også i tilfælde af absolutte URL-adreser. Når WOHyperlink bruges til at oprette URL-adresser, der peger på andre websteder, kan den aktuelle brugers session-id blive røbet til disse steder. Denne opdatering løser problemet ved kun at vedføje session-id'er til absolutte URL-adresser efter udtrykkelig anmodning herom.

 

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.

Not helpful Somewhat helpful Helpful Very helpful Solved my problem