Acerca del contenido de seguridad de las herramientas de Xcode 3.1

En este documento, se describe el contenido de seguridad de las herramientas de Xcode 3.1.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información sobre otras actualizaciones de seguridad, consulta “Actualizaciones de seguridad”.

Herramientas de Xcode 3.1

  • Ejemplos de CoreImage

    ID CVE: CVE-2008-2304

    Disponible para Mac OS X v10.5.x

    Impacto: La apertura de un documento de Fun House puede ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Las herramientas de Xcode contienen una aplicación de ejemplo llamada Core Image Fun House que maneja contenido con la extensión “.funhouse”. Puede producirse un desbordamiento de búferes en esta aplicación cuando se procesan archivos “.funhouse”. La apertura de un archivo “.funhouse” creado con fines malintencionados puede ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario. En esta actualización, se soluciona el problema mediante una mejora en la comprobación de límites. Agradecemos a Kevin Finisterre de Netragard por informar sobre este problema.

  • WebObjects

    ID CVE: CVE-2008-2318

    Disponible para Mac OS X v10.5.x

    Impacto: Se pueden revelar los ID de sesión de WebObjects a otros sitios web.

    Descripción: WebObjects contiene una API para generar direcciones URL en documentos HTML a través del elemento dinámico WOHyperlink. Cuando se utiliza WOHyperlink, siempre agrega un ID de sesión a la dirección URL generada, incluso para las direcciones URL absolutas. El uso de WOHyperlink para crear direcciones URL que dirijan a otros sitios web puede revelar el ID de sesión del usuario actual a dichos sitios. En esta actualización, se agregan ID de sesión a las direcciones URL absolutas solo cuando se solicitan explícitamente para solucionar el problema.

Importante: La información sobre los productos no fabricados por Apple se proporciona solo con fines informativos y no constituye la recomendación ni promoción por parte de Apple. Comunícate con el proveedor para obtener más información.

Fecha de publicación: