Om säkerhetsinnehållet i Xcode Tools 3.1

  • Senast ändrad: 22 juli, 2008
  • Artikel: HT2352

Översikt

I det här dokumentet beskrivs säkerhetsinnehållet i Xcode Tools 3.1.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har utförts och alla nödvändiga buggfix eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple Product Security.

Information om Apples PGP-nyckel för produktsäkerhet finns i "How to use the Apple Product Security PGP Key".

Om möjligt används CVE-ID:n som referenser till ytterligare information om sårbarheterna.

Mer information om andra säkerhetsuppdateringar finns på "Apple Security Updates".

Berörda produkter

Produktsäkerhet

Xcode Tools 3.1

  • CoreImage-exempel

    CVE-ID: CVE-2008-2304

    Tillgänglig för: Mac OS X v10.5.x

    Inverkan: Att öppna ett Fun House-dokument kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Xcode Tools innehåller ett exempelprogram med namnet Core Image Fun House som hanterar innehåll med tillägget ".funhouse". Buffertspill kan inträffa i det här programmet vid bearbetning av ".funhouse"-filer. Öppning av en ".funhouse"-fil med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att förbättra gränskontrollerna. Tack till Kevin Finisterre på Netragard som rapporterade problemet.

  • WebObjects

    CVE-ID: CVE-2008-2318

    Tillgänglig för: Mac OS X v10.5.x

    Inverkan: WebObjects sessions-ID:n kan avslöjas för andra webbplatser

    Beskrivning: WebObjects innehåller en API som genererar URL:er i HTML-dokument via det dynamiska WOHyperlink-elementet. När WOHyperlink används läggs alltid ett sessions-ID till i den URL som skapas, även i absoluta URL:er. Att använda WOHyperlink för att skapa URL:er som pekar på andra webbplatser kan leda till att den aktuella användarens sessions-ID avslöjas för de webbplatserna. Denna uppdatering åtgärdar problemet genom att sessions-ID:n läggs till i absoluta URL:er endast när detta uttryckligen begärs.

 

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.