Om sikkerhetsinnholdet i Xcode tools 3.1

  • Sist endret: 18 juli, 2008
  • Artikkel: HT2352

Oppsummering

Dette dokumentet beskriver sikkerhetsinnholdet i Xcode tools 3.1.

Av hensyn til kundenes sikkerhet er det Apples praksis å ikke videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige programoppgraderinger eller -versjoner er tilgjengelige. Du finner mer informasjon om Apples produktsikkerhet på webstedet Apples produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen for Apples produktsikkerhet under "Slik bruker du PGP-nøkkelen for Apples produktsikkerhet."

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Du finner mer informasjon om andre sikkerhetsoppdateringer i "Apples sikkerhetsoppdateringer."

Berørte produkter

Produktsikkerhet

Xcode tools 3.1

  • CoreImage-eksempler

    CVE-ID: CVE-2008-2304

    Tilgjengelig for: Mac OS X v10.5.x

    Virkning: Åpning av et Fun House-dokument kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres

    Beskrivelse: Xcode tools inneholder et eksempelprogram som kalles Core Image Fun House, og som håndterer innhold med filtypen ".funhouse". Det kan oppstå bufferoverflyt i dette programmet ved behandling av .funhouse-filer. Åpning av en skadelig .funhouse-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres. Denne oppdateringen løser problemet ved forbedret grensekontroll. Takk til Kevin Finisterre i Netragard for rapportering av dette problemet.

  • WebObjects

    CVE-ID: CVE-2008-2318

    Tilgjengelig for: Mac OS X v10.5.x

    Virkning: ID-er for WebObjects-sesjoner kan bli vist for andre webområder

    Beskrivelse: WebObjects inneholder et API for å generere URL-er i HTML-dokumenter via det dynamiske elementet WOHyperlink. Når WOHyperlink brukes, føyes det alltid til en sesjons-ID til den genererte URL-en, selv for absolutte URL-er. Bruk av WOHyperlink til å lage URL-er som peker til andre webområder, kan resultere i at sesjons-ID-en for gjeldende bruker fremlegges for de områdene. Denne oppdateringen løser problemet ved å føye til sesjons-ID-er til absolutte URL-er bare når det blir spesifikt bedt om.

 

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.