This article has been archived and is no longer updated by Apple.

מידע על תוכן האבטחה של כלי Xcode 3.1

מסמך זה מתאר את תוכן האבטחה של כלי Xcode 3.1.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שמתבצעת חקירה מלאה בנושא ויש גרסאות חדשות או תיקונים זמינים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו ב-"כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו ב-"עדכוני אבטחה של Apple".

כלי Xcode 3.1

  • CoreImage Examples

    CVE-ID‏: CVE-2008-2304

    זמין עבור: Mac OS X v10.5.x

    השפעה: פתיחת מסמך Fun House עלולה לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: כלי Xcode מכילים יישום לדוגמה שנקרא Core Image Fun House ומטפל בתוכן עם סיומת "‎.funhouse". גלישת חוצץ עשויה להתרחש ביישום זה בעת עיבוד קובצי "‎.funhouse". פתיחת קובץ "‎.funhouse" בעל מבנה זדוני עלולה לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת גבולות משופרת. תודה לקווין פיניסטר מ-Netragard על דיווח הבעיה.

  • WebObjects

    CVE-ID:‏ CVE-2008-2318

    זמין עבור: Mac OS X v10.5.x

    השפעה: מזהי הפעלות WebObjects עלולים להיחשף באתרי אינטרנט אחרים

    תיאור: WebObjects מכיל API ליצירת כתובות URL במסמכי HTML דרך האלמנט הדינמי של WOHyperlink. כאשר משתמשים ב-WOHyperlink, הוא מוסיף מזהה פעילות לכתובת ה-URL שנוצרה, גם עבור כתובות URL מוחלטות. שימוש ב-WOHyperlink ליצירת כתובות URL שמפנות לאתרי אינטרנט אחרים עלול לגרום לחשיפת מזהה הפעילות של המשתמש הנוכחי באותם אתרים. עדכון זה מטפל בבעיה באמצעות הוספת מזהי פעילות לכתובות URL מוחלטות רק כאשר קיימת בקשה מפורשת.

חשוב: מידע על מוצרים שאינם מיוצרים על ידי Apple ניתן למטרות מידע בלבד ואינו מהווה המלצה או תמיכה של Apple. יש ליצור קשר עם הספק לקבלת מידע נוסף.

Published Date: