关于 Xcode tools 3.1 的安全性内容

本文介绍了 Xcode tools 3.1 的安全性内容。

为了保护我们的客户，在进行详尽调查并推出任何必要的修补程序或发行版之前，Apple 不会透露、讨论或确认安全性问题。要进一步了解 Apple 产品安全性，请参阅“Apple 产品安全性”网站。

如需了解 Apple 产品安全性 PGP 密钥，请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

在可能的情况下，我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。

要了解其他安全性更新，请参阅“Apple 安全性更新”。

Xcode tools 3.1

• CoreImage Examples

  CVE-ID：CVE-2008-2304

  适用于：Mac OS X v10.5.x

  影响：打开 Fun House 文稿可能会导致应用程序意外终止或任意代码执行

  描述：Xcode tools 包含名为 Core Image Fun House 的示例应用程序，这个应用程序可以处理扩展名为“.funhouse”的内容。处理“.funhouse”文件时，这个应用程序可能会出现缓冲区溢出问题。打开恶意制作的“.funhouse”文件可能会导致应用程序意外终止或任意代码执行。这一更新通过改进边界检查解决了这个问题。感谢 Netragard 的 Kevin Finisterre 报告这个问题。

• WebObjects

  CVE-ID：CVE-2008-2318

  适用于：Mac OS X v10.5.x

  影响：WebObjects 会话 ID 可能会被泄露到其他网站

  描述：WebObjects 中包含 API，可通过 WOHyperlink 动态元素在 HTML 文稿中生成 URL。使用 WOHyperlink 时，它总是将会话 ID 追加至生成的 URL，即使是绝对 URL 也会追加。使用 WOHyperlink 创建指向其他网站的 URL 可能会导致当前用户的会话 ID 被泄露到这些网站。这一更新通过仅在收到明确请求时将会话 ID 追加至绝对 URL 解决了这个问题。