Xcode tools 3.1 のセキュリティコンテンツについて
概要
この記事では、Xcode tools 3.1 のセキュリティコンテンツについて説明します。
アップルでは、ユーザ保護の観点から、徹底した調査が完了し必要なパッチやリリースが利用可能になるまで、セキュリティの問題に関して公開、説明または承認を行いません。アップル製品のセキュリティの詳細については、アップル製品のセキュリティ を参照してください。
アップル製品のセキュリティの PGP キー情報については、「Apple Product Security PGP キーの使用方法」を参照してください。
CVE IDs でも、脆弱性に関する詳細な情報を参照できます。
その他のセキュリティアップデートについては、「セキュリティアップデートについて」を参照してください。
対象製品
製品のセキュリティ
Xcode tools 3.1
-
CoreImage Examples
CVE-ID:CVE-2008-2304
対象となるバージョン:Mac OS X v10.5.x
影響:Fun House の文書を開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。
説明:Xcode tools には、「Core Image Fun House」という名前のサンプルアプリケーションが含まれています。このアプリケーションは、拡張子が「.funhouse」のコンテンツを処理します。「.funhouse」ファイルの処理中に、アプリケーションでバッファがオーバーフローする場合があります。悪意を持って作成された「.funhouse」ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。このアップデートでは、bounds checking の改善によって、問題が解消されています。この問題の報告は、Netragard の Kevin Finisterre 氏の功績によるものです。
-
WebObjects
CVE-ID:CVE-2008-2318
対象となるバージョン:Mac OS X v10.5.x
影響:WebObjects セッション ID がほかの Web サイトに公開される可能性がある。
説明:WebObjects には、WOHyperlink ダイナミックエレメントを介して、HTML 文書に URL を生成する API が備わっています。WOHyperlink を使うと、絶対 URL を含め、URL の生成時に常にセッション ID が追加されます。WOHyperlink を使って、別の Web サイトを示す URL を作成すると、現在のユーザのセッション ID が Web サイトに公開される場合があります。このアップデートでは、明示的に命令した場合にのみ、絶対 URL にセッション ID が追加されるようにすることによって、この問題が解消されています。
Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.