Mengenai konten keamanan alat Xcode 3.1

Dokumen ini menjelaskan konten keamanan alat Xcode 3.1.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple.”

Alat Xcode 3.1

  • Contoh CoreImage

    CVE-ID: CVE-2008-2304

    Tersedia untuk: Mac OS X v10.5.x

    Dampak: Membuka dokumen Fun House dapat menyebabkan penghentian aplikasi secara tidak terduga atau eksekusi kode arbitrer

    Deskripsi: Alat Xcode berisi contoh aplikasi bernama Core Image Fun House yang menangani konten dengan ekstensi “.funhouse”. Kelebihan buffer mungkin terjadi pada aplikasi ini saat memproses file “.funhouse”. Membuka file “.funhouse” yang berbahaya dapat mengakibatkan aplikasi terhenti secara tidak terduga atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada Kevin Finisterre dari Netragard yang telah melaporkan masalah ini.

  • WebObjects

    CVE-ID: CVE-2008-2318

    Tersedia untuk: Mac OS X v10.5.x

    Dampak: ID sesi WebObjects dapat diungkapkan ke situs web lain

    Deskripsi: WebObjects berisi API untuk menghasilkan URL dalam dokumen HTML melalui elemen dinamis WOHyperlink. Saat WOHyperlink digunakan, WOHyperlink selalu menambahkan ID sesi ke URL yang dihasilkan, bahkan untuk URL absolut. Menggunakan WOHyperlink untuk membuat URL yang mengarah ke situs web lain dapat mengakibatkan pengungkapan ID sesi pengguna saat ini ke situs tersebut. Pembaruan ini mengatasi masalah ini dengan menambahkan ID sesi ke URL absolut hanya jika diminta secara eksplisit.

Penting: Informasi tentang produk yang tidak diproduksi oleh Apple hanya tersedia untuk tujuan informasi dan bukan merupakan rekomendasi atau dukungan dari Apple. Silakan hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: