Informace o bezpečnostním obsahu nástrojů Xcode 3.1

Tento dokument popisuje bezpečnostní obsah nástrojů Xcode 3.1.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Nástroje Xcode 3.1

  • CoreImage Examples

    CVE-ID: CVE-2008-2304

    K dispozici pro: Mac OS X v10.5.x

    Dopad: Otevření dokumentu Fun House může vést k nečekanému ukončení aplikace nebo libovolnému spuštění kódu.

    Popis: Nástroje Xcode obsahují ukázkovou aplikaci s názvem Core Image Fun House, která je schopná zpracovat obsah s příponou „.funhouse“. Při zpracovávání souborů s příponou „.funhouse“ může v této aplikaci dojít k přetečení vyrovnávací paměti. Otevření škodlivého souboru s příponou „.funhouse“ může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Aktualizace tento problém řeší vylepšením kontroly rozsahu. Poděkování za nahlášení problému zaslouží Kevin Finisterre ze společnosti Netragard.

  • WebObjects

    CVE-ID: CVE-2008-2318

    K dispozici pro: Mac OS X v10.5.x

    Dopad: ID relace WebObjects může být zpřístupněno jiným webovým stránkám.

    Popis: WebObjects obsahuje API, které generuje adresy URL v dokumentech HTML prostřednictvím dynamického elementu WOHyperlink. Při použití dynamického elementu WOHyperlink se k vygenerované adrese URL vždy připojí ID relace, a to i v případě absolutních adres URL. Použití dynamického elementu WOHyperlink k vytvoření adres URL, které odkazují na jiné webové stránky, může vést k odhalení ID relace aktuálního uživatele těmto stránkám. Tato aktualizace řeší tento problém tak, že ID relace je připojeno k absolutním adresám URL pouze v případě, že je to výslovně požadováno.

Důležité: Informace o produktech, které společnost Apple nevyrábí, jsou poskytovány pouze pro informační účely a nepředstavují doporučení ani podporu společnosti Apple. Pro získání dalších informací kontaktujte dodavatele.

Datum zveřejnění: