Сведения о функциях безопасности инструментов Xcode 3.1

  • Дата изменения: 18 Июль, 2008
  • Статья: HT2352

Обзор

В этом документе приведены сведения о функциях безопасности инструментов Xcode 3.1.

В целях защиты своих пользователей компания Apple не разглашает и не подтверждает информацию о проблемах безопасности, а также не участвует в ее обсуждении, до тех пор пока не будет полностью завершено изучение проблемы и не будут выпущены все необходимые обновления и выпуски. Дополнительную информацию об обеспечении безопасности продуктов Apple см. на веб-странице «Безопасность продуктов Apple».

Дополнительную информацию об обеспечении безопасности продуктов Apple с помощью ключа PGP см. в статье «Использование PGP-ключа для защиты продуктов Apple».

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Дополнительную информацию о других обновлениях системы безопасности см. в статье Apple Security Updates («Обновления системы безопасности Apple»).

Продукты, у которых возникает эта проблема

Безопасность продукта

Инструменты Xcode 3.1

  • Образцы CoreImage

    Идентификатор CVE: CVE-2008-2304

    Назначение. Mac OS X 10.5.x

    Уязвимость. Открытие документа Fun House может привести к неожиданному завершению работы приложения или к выполнению произвольного кода

    Описание. Инструменты Xcode содержат образец приложения под названием Core Image Fun House, которое обрабатывает файлы с расширением .funhouse. При обработке в нем таких файлов может возникнуть переполнение буфера. Открытие вредоносного файла формата .funhouse может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Это обновление устраняет описанную проблему, улучшая способ проверки границ. Благодарим Кевина Финистерри из компании Netragard за сообщение об этой проблеме.

  • WebObjects

    Идентификатор CVE: CVE-2008-2318

    Назначение. Mac OS X 10.5.x

    Уязвимость. ID сеансов WebObjects могут оказаться доступными другим веб-сайтам

    Описание. Программа WebObjects содержит API, который позволяет создавать URL-адреса в документах формата HTML с помощью динамического элемента WOHyperlink. При использовании этого элемента к каждому создаваемому URL-адресу (в том числе абсолютному) добавляется ID сеанса. Использование элемента WOHyperlink для создания URL-адресов, указывающих на другие веб-сайты, может привести к тому, что ID текущего сеанса пользователя станет доступным этим сайтам. Это обновление устраняет проблему, добавляя ID сеанса к абсолютным URL-адресам только при соответствующем запросе.

 

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.