Informationen zum Sicherheitsinhalt von Xcode 3.1

In diesem Dokument wird der Sicherheitsinhalt von Xcode 3.1 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter “Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.“

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter Apple-Sicherheitsupdates.

Xcode 3.1

  • CoreImage Examples

    CVE-ID: CVE-2008-2304

    Verfügbar für: Mac OS X v10.5.x

    Auswirkungen: Das Öffnen eines Fun House-Dokuments kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    Beschreibung: Die Xcode-Tools enthalten eine Beispielanwendung mit dem Namen „Core Image Fun House“, die Inhalte mit der Erweiterung „.funhouse“ verarbeitet. Bei der Verarbeitung von .funhouse-Dateien kann in dieser Anwendung ein Pufferüberlauf auftreten. Das Öffnen einer in böswilliger Absicht erstellten „.funhouse“-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Wir danken Kevin Finisterre von Netragard für die Meldung dieses Problems.

  • WebObjects

    CVE-ID: CVE-2008-2318

    Verfügbar für: Mac OS X v10.5.x

    Auswirkung: WebObjects Sitzungs-IDs werden möglicherweise auf anderen Websites offengelegt

    Beschreibung: WebObjects umfasst zum Erstellen von URLs in HTML-Dokumenten über das dynamische Element WOHyperlink eine API. Bei Verwendung von WOHyperlink wird an die erstellte URL (auch an absolute URLs) immer eine Sitzungs-ID angehängt. Die Verwendung von WOHyperlink zum Erstellen von URLs, die auf andere Websites verweisen, kann dazu führen, dass die Sitzungs-ID des aktuellen Benutzers bei diesen Websites offengelegt wird. Dieses Update behebt das Problem, indem Sitzungs-IDs nur dann an absolute URLs angehängt werden, wenn sie explizit angefordert werden.

Wichtig: Informationen zu Produkten, die nicht von Apple hergestellt wurden, werden lediglich zu Informationszwecken zur Verfügung gestellt und stellen keine Empfehlung oder Billigung seitens Apple dar. Weitere Informationen sind beim Händler erhältlich.

Veröffentlichungsdatum: