Tietoja Xcode tools 3.1:n turvallisuussisällöstä

  • Viimeksi muutettu: 22 heinäkuu, 2008
  • Artikkeli: HT2352

Yhteenveto

Tämä asiakirja käsittelee Xcode tools 3.1:n turvallisuussisältöä.

Suojellakseen asiakkaitaan Apple ei paljasta tai anna tietoja tietoturvaongelmista tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa "Miten käytetään Applen tuoteturvallisuuden PGP-avainta".

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viitteinä haavoittuvuuksien lisätietoihin.

Tietoja muista turvallisuuspäivityksistä on artikkelissa "Applen turvallisuuspäivitykset."

Tuotteet, joita asia koskee

Tuoteturvallisuus

Xcode tools 3.1

  • CoreImage-esimerkkejä

    CVE-ID: CVE-2008-2304

    Käytettävissä: Mac OS X v10.5.x

    Vaikutus: Fun House -asiakirjan avaaminen saattaa johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suoritukseen.

    Kuvaus: Xcode tools sisältää Core Image Fun House -nimisen esimerkkisovelluksen, joka käsittelee ".funhouse"-tarkentimella varustettuja sisältöjä. Sovelluksen käsitellessä ".funhouse"-tiedostoja saattaa ilmetä puskurin ylivuotoja. Vihamielisen ".funhouse"-tiedoston avaaminen saattaa johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaiseen koodin suoritukseen. Tämä päivitys korjaa ongelman parannettujen reunatarkastusten avulla. Kiitos Netragardin Kevin Finisterrelle tästä ongelmasta ilmoittamisesta.

  • WebObjects

    CVE-ID: CVE-2008-2318

    Käytettävissä: Mac OS X v10.5.x

    Vaikutus: WebObjects-istuntotunnukset voidaan paljastaa muille verkkosivustoille.

    Kuvaus: WebObjects sisältää API:n, jonka avulla HTML-asiakirjoissa luodaan URL-osoitteita dynaamisen WOHyperlink-elementin kautta. WOHyperlink liittää luotuun URL-osoitteeseen aina istuntotunnuksen, vaikka URL-osoite olisi vanhentunut. Kun WOHyperlinkin avulla luodaan muihin verkkosivustoihin viittaavia URL-osoitteita, se saattaa johtaa siihen, että nykyisen käyttäjän istuntotunnus paljastetaan kyseisille sivustoille. Tämä päivitys ratkaisee ongelman liittämällä istuntotunnuksen vanhentuneisiin URL-osoitteisiin vain silloin, jos tätä erityisesti pyydetään.

 

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.

Not helpful Somewhat helpful Helpful Very helpful Solved my problem