Informationen zum Sicherheitsinhalt der Xcode Tools 3.1

  • Zuletzt geändert: 22 Juli, 2008
  • Artikel: HT2352

Zusammenfassung

Dieses Dokument enthält Erläuterungen zu den Sicherheitselementen von Xcode Tools 3.1.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Produktsicherheit von Apple.

Informationen zum Apple Produktsicherheits-PGP-Schlüssel finden Sie hier: "So verwenden Sie den Apple Produktsicherheits-PGP-Schlüssel".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE IDs verwendet.

Informationen zu weiteren Security Updates finden Sie unter "Apple Sicherheits-Updates".

Betroffene Produkte

Produktsicherheit

Xcode Tools 3.1

  • Core Image Beispiele

    CVE-ID: CVE-2008-2304

    Verfügbar für: Mac OS X v10.5.x

    Symptom: Das Öffnen eines Spiegelkabinett-Dokuments kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen

    Beschreibung: Xcode Tools enthalten ein Beispielprogramm mit der Bezeichnung "Core Image Spiegelkabinett", das Inhalt mit der Dateierweiterung ".funhouse" verarbeitet. Beim Verarbeiten der ".funhouse" Dateien kann es in diesem Programm zu einem Pufferüberlauf kommen. Das Öffnen einer in böser Absicht erstellten ".funhouse" Datei kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Wir danken Kevin Finisterre von Netragard für die Meldung dieses Problems.

  • WebObjects

    CVE-ID: CVE-2008-2318

    Verfügbar für: Mac OS X v10.5.x

    Symptom: WebObjects Sitzungs-IDs werden möglicherweise auf anderen Websites offengelegt

    Beschreibung: WebObjects umfasst zum Erstellen von URLs in HTML-Dokumenten über das dynamische Element WOHyperlink eine API. Bei Verwendung von WOHyperlink wird an die erstellte URL (auch an absolute URLs) immer eine Sitzungs-ID angehängt. Die Verwendung von WOHyperlink zum Erstellen von URLs, die auf andere Websites verweisen, kann dazu führen, dass die Sitzungs-ID des aktuellen Benutzers bei diesen Websites offengelegt wird. Diese Aktualisierung behebt das·Problem, indem Sitzungs-IDs nur mehr an absolute URLs angehängt werden, wenn dies ausdrücklich angefordert wird.

 

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.

Not helpful Somewhat helpful Helpful Very helpful Solved my problem