Az Xcode tools 3.1 biztonsági változásjegyzéke
Ez a dokumentum az Xcode tools 3.1 biztonsági változásjegyzékét ismerteti.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információt.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Az egyéb biztonsági frissítésekről az „Apple biztonsági frissítései” című cikkben olvashat.
Xcode tools 3.1
CoreImage Examples
CVE-azonosító: CVE-2008-2304
A következőkhöz érhető el: Mac OS X 10.5.x
Érintett terület: Fun House dokumentum megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges kódvégrehajtáshoz vezethet
Leírás: Az Xcode tools Core Image Fun House nemű példaalkalmazást tartalmaz, amely „.funhouse” kiterjesztéssel kezeli a tartalmat. A „.funhouse” fájlok feldolgozása során puffertúlcsordulás léphet fel az alkalmazásban. Ártó szándékkal létrehozott „.funhouse” fájlok megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges kódvégrehajtáshoz vezethet. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. A probléma jelentéséért köszönet jár Kevin Finisterre-nek (Netragard).
WebObjects
CVE-azonosító: CVE-2008-2318
A következőkhöz érhető el: Mac OS X 10.5.x
Érintett terület: WebObjects munkamenet-azonosítók kerülhetnek nyilvánosságra más weboldalakon
Leírás: A WebObjects olyan API-t tartalmaz, amely URL-címeket hoz létre HTML-dokumentumokban a WOHyperlink dinamikus elemmel. A WOHyperlink használata mindig megszerzi a létrehozott URL-cím munkamenet-azonosítóját, még az abszolút URL-címek esetében is. Ha a WOHyperlinket olyan URL-címek létrehozásához használja, amelyek egy másik weboldalra mutatnak, akkor az adott felhasználó munkamenet-azonosítója nyilvánosságra kerülhet ezeken a weboldalakon. Ez a frissítés azáltal hárítja el a problémát, hogy csak akkor szerzi meg az abszolút URL-címek munkamenet-azonosítóit, ha azt kifejezetten kérik.
Fontos: A nem az Apple által gyártott termékekre vonatkozó információk kizárólag tájékoztató célt szolgálnak, és nem jelentik az Apple általi ajánlásukat vagy jóváhagyásukat. További információkért vegye fel a kapcsolatot a gyártóval.