Xcode ツール 3.1 のセキュリティコンテンツについて

Xcode ツール 3.1 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

Xcode ツール 3.1

• CoreImage Examples

  CVE-ID：CVE-2008-2304

  対象となるバージョン：Mac OS X v10.5.x

  影響：Fun House ドキュメントを開くと、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性がある。

  説明：Xcode tools には、「Core Image Fun House」という名前のサンプルアプリケーションが含まれています。このアプリケーションは、拡張子が「.funhouse」のコンテンツを処理します。「.funhouse」ファイルの処理中に、アプリケーションでバッファがオーバーフローする場合があります。悪意を持って作成された「.funhouse」ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題の報告は、Netragard の Kevin Finisterre 氏の功績によるものです。

• WebObjects

  CVE-ID：CVE-2008-2318

  対象となるバージョン：Mac OS X v10.5.x

  影響：WebObjects セッション ID がほかの Web サイトに開示される可能性がある。

  説明：WebObjects には、WOHyperlink ダイナミックエレメントを通じて、HTML 文書に URL を生成する API が備わっています。WOHyperlink を使うと、絶対 URL を含め、URL の生成時に常にセッション ID が追加されます。WOHyperlink を使って、別の Web サイトを示す URL を作成すると、現在のユーザのセッション ID が Web サイトに公開される場合があります。このアップデートでは、明示的に命令した場合にのみ、絶対 URL にセッション ID が追加されるようにすることによって、この問題が解消されています。