À propos du contenu sécuritaire des outils Xcode 3.1

  • Dernière modification : 22 juillet, 2008
  • Article : HT2352

Résumé

Ce document décrit le contenu sécuritaire des outils Xcode 3.1.

Pour la protection de nos clients, Apple n'entreprend aucune révélation, discussion ni confirmation des problèmes de sécurité jusqu'à ce qu'une enquête complète soit menée et que le correctif ou la version soit disponible. Pour en savoir plus sur la sécurité des produits Apple, consultez le site WebSécurité des produits Apple.

Pour plus d'informations concernant la clé PGP de sécurité des produits Apple, consultez « Comment utiliser la clé PGP de sécurité des produits Apple. »

Autant que possible, les références CVE sont utilisées pour répertorier les vulnérabilités afin de fournir plus d'informations.

Pour en savoir plus sur les autres mises à jour de sécurité, consultez « Mises à jour de sécurité Apple. »

Produits concernés

Sécurité produit

Outils Xcode 3.1

  • Exemples CoreImage

    Référence CVE : CVE-2008-2304

    Disponible pour : Mac OS X v10.5.x

    Impact : l’ouverture d’un document Fun House peut conduire à l'interruption inopinée d'une application ou l'exécution arbitraire de code

    Description : les outils Xcode comprennent une application exemple appelée Core Image Fun House, qui traite le contenu dont l'extension est ".funhouse". Le traitement des fichiers ".funhouse" peut entraîner une saturation de la mémoire tampon de cette application. L’ouverture d’un fichier malveillant ".funhouse" peut conduire à l'interruption inopinée d'une application ou l'exécution arbitraire de code. Cette mise à jour résout le problème par des contrôles de limitation améliorés. Nous remercions Kevin Finisterre de Netragard pour avoir signalé ce problème.

  • WebObjects

    Référence CVE : CVE-2008-2318

    Disponible pour : Mac OS X v10.5.x

    Impact : les ID de session WebObjects peuvent être divulgués à d'autres sites Web

    Description : les WebObjects contiennent un API permettant de générer des URL dans les documents HTML via l'élément dynamique WOHyperlink. Lors de l'utilisation de WOHyperlink, un ID de session est ajouté à l'URL générée, même lorsqu'il s'agit d'URL absolues. L'utilisation de WOHyperlink pour créer des URL pointant vers d'autres sites Web peut entraîner la divulgation vers ces sites de l'ID de session de l'utilisateur actuel. Cette mise à jour résout le problème en ajoutant les ID de session aux URL absolues uniquement lors d'une demande explicite.

 

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.

Not helpful Somewhat helpful Helpful Very helpful Solved my problem