Sobre o conteúdo de segurança das ferramentas do Xcode 3.1

  • Última Modificação: 22 Julho, 2008
  • Artigo: HT2352

Resumo

Este documento descreve o conteúdo de segurança das ferramentas do Xcode 3.1.

Para fins de proteção de nossos clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma ampla investigação tenha sido feita e que as correções ou versões necessárias estejam disponíveis. Para saber mais sobre segurança do produto Apple, consulte o site sobre Segurança do produto Apple.

Para obter informações sobre a chave PGP de segurança do produto Apple, consulte Como usar a chave PGP de segurança do produto Apple.

Sempre que possível, serão usadas IDs de CVE para indicar as vulnerabilidades e permitir que o usuário obtenha informações mais detalhadas.

Para saber mais sobre outras atualizações de segurança, consulte "Atualizações de segurança da Apple".

Produtos Afetados

Segurança do Produto

Ferramentas do Xcode 3.1

  • Exemplos de CoreImage

    ID de CVE: CVE-2008-2304

    Disponível para: Mac OS X v10.5.x

    Impacto: abrir um documento Fun House pode causar um encerramento inesperado do aplicativo ou a execução descontrolada de código

    Descrição: as ferramentas do Xcode contêm um aplicativo de exemplo chamado Core Image Fun House que utiliza conteúdo com a extensão ".funhouse". Este aplicativo pode sofrer um transbordamento de buffer ao processar arquivos ".funhouse". Abrir um arquivo ".funhouse" projetado com códigos maliciosos pode causar um encerramento inesperado do aplicativo ou a execução descontrolada de código. Esta atualização soluciona o problema através de verificação aprimorada de limites. Agradecemos Kevin Finisterre, da Netragard, por reportar este problema.

  • WebObjects

    ID de CVE: CVE-2008-2318

    Disponível para: Mac OS X v10.5.x

    Impacto: IDs de sessão do WebObjects podem ser divulgados para outros sites

    Descrição: WebObjects contêm uma API para gerar URLs em documentos HTML por meio do elemento dinâmico WOHyperlink. Quando o WOHyperlink é usado, ele sempre anexa um ID de sessão ao URL gerado, mesmo para URLs absolutos. Usar o WOHyperlink para criar URLs que apontam para outros sites pode resultar na divulgação do ID de sessão do usuário atual para esses sites. Esta atualização soluciona o problema anexando IDs de sessão aos URLs absolutos somente quando explicitamente solicitado.

 

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.