Tämä artikkeli on arkistoitu eikä Apple enää päivitä sitä.

Tietoja Xcode-työkalujen version 3.1 turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Xcode-työkalujen version 3.1 turvallisuussisällöstä.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Xcode-työkalut 3.1

  • CoreImage-esimerkit

    CVE-ID: CVE-2008-2304

    Saatavuus: Mac OS X 10.5.x

    Vaikutus: Fun House -asiakirjan avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Xcode-työkalut sisältävät Core Image Fun House -nimisen esimerkkiapin, joka käsittelee .funhouse-tiedostopäätteellä merkittyjä sisältöjä. Apissa voi tapahtua puskuriylivuoto sen käsitellessä .funhouse-tiedostoja. Haitallisen .funhouse-tiedoston avaaminen voi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman parantamalla rajojen tarkistusta. Kiitos Kevin Finisterrelle (Netragard) ongelmasta ilmoittamisesta.

  • WebObjects

    CVE-ID: CVE-2008-2318

    Saatavuus: Mac OS X 10.5.x

    Vaikutus: WebObjects-istuntojen tunnukset voivat paljastua muille verkkosivustoille.

    Kuvaus: WebObjects sisältää API-rajapinnan, jolla muodostetaan URL-osoitteita dokumenteille dynaamisen WOHyperlink-elementin avulla. Kun WOHyperLinkiä käytettiin, se lisäsi muodostettuun URL-osoitteeseen aina istunnon tunnuksen – myös absoluuttisiin URL-osoitteisiin. Muihin verkkosivustoihin viittaavien URL-osoitteiden luominen WOHyperLinkillä voi paljastaa nykyisen käyttäjän istunnon tunnuksen kyseisille sivustoille. Tämä päivitys korjaa ongelman lisäämällä istunnon tunnuksen absoluuttisiin URL-osoitteisiin vain erikseen pyydettäessä.

Tärkeää: Tiedot tuotteista, joita Apple ei ole valmistanut, toimitetaan vain tiedotustarkoituksiin, eikä niitä tule ymmärtää Applen suosituksina. Lisätietoja saat toimittajalta.

Julkaisupäivämäärä: