Cet article a été archivé et n’est plus mis à jour par Apple.

À propos des correctifs de sécurité des outils Xcode 3.1

Ce document décrit les correctifs de sécurité des outils Xcode 3.1.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des renseignements supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple .

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’articleComment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des renseignements supplémentaires.

Pour en savoir plus sur les autres mises à jour de sécurité, consultez l’article Versions de sécurité d’Apple.

Outils Xcode 3.1

  • CoreImage Examples

    Référence CVE : CVE-2008-2304

    Disponible pour : Mac OS X 10.5.x

    Conséquence : l’ouverture d’un document Fun House peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire

    Description : les outils Xcode contiennent un exemple d’application appelée Core Image Fun House qui gère les contenus dont l’extension est « .funhouse ». Un dépassement de mémoire tampon peut se produire dans cette application lors du traitement des fichiers « .funhouse ». L’ouverture d’un fichier « .funhouse » malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Nous remercions Kevin Finisterre de Netragard d’avoir signalé ce problème.

  • WebObjects

    Référence CVE : CVE-2008-2318

    Disponible pour : Mac OS X 10.5.x

    Conséquence : les identifiants de session WebObjects peuvent être divulgués à d’autres sites web

    Description : WebObjects contient une API servant à générer des URL dans des documents HTML via l’élément dynamique WOHyperlink. Lorsque WOHyperlink est utilisé, il ajoute toujours un identifiant de session à l’URL générée, même pour les URL absolues. L’utilisation de WOHyperlink pour créer des URL qui renvoient à d’autres sites web peut entraîner la divulgation de l’identifiant de session de l’utilisateur actuel à ces sites. Cette mise à jour résout le problème en n’ajoutant des identifiants de session aux URL absolues que lorsque cela est explicitement demandé.

Important : les renseignements concernant des produits non fabriqués par Apple ne sont fournis qu’à titre indicatif et ne constituent ni une recommandation, ni une approbation, de la part d’Apple. Communiquez avec le fournisseur pour obtenir des informations supplémentaires.

Date de publication: