מידע על תוכן האבטחה של כלי Xcode 3.1
מסמך זה מתאר את תוכן האבטחה של כלי Xcode 3.1.
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שמתבצעת חקירה מלאה בנושא ויש גרסאות חדשות או תיקונים זמינים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.
למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו ב-"כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".
היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.
כדי ללמוד על עדכוני אבטחה נוספים, עיינו ב-"עדכוני אבטחה של Apple".
כלי Xcode 3.1
CoreImage Examples
CVE-ID: CVE-2008-2304
זמין עבור: Mac OS X v10.5.x
השפעה: פתיחת מסמך Fun House עלולה לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: כלי Xcode מכילים יישום לדוגמה שנקרא Core Image Fun House ומטפל בתוכן עם סיומת ".funhouse". גלישת חוצץ עשויה להתרחש ביישום זה בעת עיבוד קובצי ".funhouse". פתיחת קובץ ".funhouse" בעל מבנה זדוני עלולה לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת גבולות משופרת. תודה לקווין פיניסטר מ-Netragard על דיווח הבעיה.
WebObjects
CVE-ID: CVE-2008-2318
זמין עבור: Mac OS X v10.5.x
השפעה: מזהי הפעלות WebObjects עלולים להיחשף באתרי אינטרנט אחרים
תיאור: WebObjects מכיל API ליצירת כתובות URL במסמכי HTML דרך האלמנט הדינמי של WOHyperlink. כאשר משתמשים ב-WOHyperlink, הוא מוסיף מזהה פעילות לכתובת ה-URL שנוצרה, גם עבור כתובות URL מוחלטות. שימוש ב-WOHyperlink ליצירת כתובות URL שמפנות לאתרי אינטרנט אחרים עלול לגרום לחשיפת מזהה הפעילות של המשתמש הנוכחי באותם אתרים. עדכון זה מטפל בבעיה באמצעות הוספת מזהי פעילות לכתובות URL מוחלטות רק כאשר קיימת בקשה מפורשת.
חשוב: מידע על מוצרים שאינם מיוצרים על ידי Apple ניתן למטרות מידע בלבד ואינו מהווה המלצה או תמיכה של Apple. יש ליצור קשר עם הספק לקבלת מידע נוסף.