Acerca del contenido de seguridad de las Herramientas Xcode 3.1
Resumen
Este documento describe el contenido de seguridad de las Herramientas Xcode 3.1.
Para la protección de nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya realizado una exhaustiva investigación y estén disponibles todas las versiones y actualizaciones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visite el sitio web Seguridad de los productos de Apple.
Para obtener más información sobre la clave PGP de la seguridad de los productos de Apple, consulte "Cómo utilizar la clave PGP de la seguridad de productos de Apple".
Cuando es posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a la hora de obtener más información.
Para obtener información sobre otras las actualizaciones de seguridad, consulte "Actualizaciones de seguridad de Apple".
Productos afectados
Seguridad de los productos
Herramientas Xcode 3.1
-
Ejemplos de CoreImage
CVE-ID: CVE-2008-2304
Disponible para: Mac OS X v10.5.x
Impacto: la apertura de un documento Fun House podría ocasionar una finalización inesperada de la aplicación o la ejecución de código dañino
Descripción: las Herramientas Xcode contienen una aplicación de ejemplo llamada Core Image Fun House que procesa contenido con la extensión ".funhouse". Puede producirse un desbordamiento de búfer en esa aplicación al procesar archivos ".funhouse". La apertura de un archivo ".funhouse" creado con fines malintencionados podría causar la finalización inesperada de una aplicación o la ejecución de código arbitrario. Esta actualización resuelve el problema mediante la mejora de la comprobación de límites. Gracias a Kevin Finisterre de Netragard por informar acerca de este problema.
-
WebObjects
CVE-ID: CVE-2008-2318
Disponible para: Mac OS X v10.5.x
Impacto: pueden revelarse ID de sesión de WebObjects a otros sitios web
Descripción: WebObjects contiene una API para generar direcciones URL en documentos HTML a través del elemento dinámico WOHyperlink. Cuando se usa, WOHyperlink siempre anexa un ID de sesión a la URL generada (incluso a las URL absolutas). Si se usa WOHyperlink para crear direcciones URL dirigidas a otros sitios web, puede revelarse el ID de sesión del usuario actual a esos sitios. Esta actualización resuelve el problema anexando ID de sesión a las direcciones URL absolutas sólo si se solicita expresamente.
Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.