Informacje o zawartości związanej z zabezpieczeniami w Narzędziach Xcode 3.1

  • Ostatnia modyfikacja: 18 lipiec, 2008
  • Artykuł: HT2352

Podsumowanie

W tym dokumencie opisano związaną z zabezpieczeniami zawartość Narzędzi Xcode 3.1.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących bezpieczeństwa przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł „Jak używać klucza PGP serwisu Bezpieczeństwo produktów firmy Apple”.

Zawsze gdy jest to możliwe, w odniesieniu do luk używane są identyfikatory z katalogu CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł „Uaktualnienia zabezpieczeń firmy Apple”.

Dotyczy produktów

Bezpieczeństwo produktów

Narzędzia Xcode 3.1

  • Przykłady CoreImage

    Identyfikator CVE: CVE-2008-2304

    Dostępne dla: Mac OS X 10.5.x

    Zagrożenie: otwarcie dokumentu programu Fun House może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu

    Opis: narzędzia Xcode zawierają przykładową aplikację o nazwie Core Image Fun House, która obsługuje zawartość z rozszerzeniem „.funhouse”. W trakcie przetwarzania plików z rozszerzeniem „.funhouse” może wystąpić przepełnienie bufora w tej aplikacji. Otwarcie specjalnie spreparowanego pliku z rozszerzeniem „.funhouse” może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez ulepszone sprawdzanie ograniczeń. Problem zgłosił Kevin Finisterre z firmy Netragard.

  • WebObjects

    Identyfikator CVE: CVE-2008-2318

    Dostępne dla: Mac OS X 10.5.x

    Zagrożenie: identyfikatory sesji WebObjects mogą zostać ujawnione innym witrynom

    Opis: technologia WebObjects zawiera interfejs API służący do generowania adresów URL w dokumentach HTML za pośrednictwem elementu dynamicznego WOHyperlink. W przypadku używania elementu WOHyperlink do wygenerowanego adresu URL zawsze jest dodawany identyfikator sesji. Dotyczy to także absolutnych adresów URL. Używanie elementu WOHyperlink do tworzenia adresów URL wskazujących na inne witryny może spowodować ujawnienie tym witrynom identyfikatora sesji bieżącego użytkownika. Niniejsze uaktualnienie dotyczy problemu dołączania identyfikatorów sesji do absolutnych adresów URL tylko w przypadku otwartego żądania.

 

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.