Informazioni sui contenuti di sicurezza di Xcode 3.1
In questo documento vengono descritti i contenuti di sicurezza di Xcode 3.1.
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo “Come usare la chiave PGP per la sicurezza dei prodotti Apple”.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza, consulta la sezione “Aggiornamenti di sicurezza Apple”.
Xcode 3.1
CoreImage Examples
CVE-ID: CVE-2008-2304
Disponibile per: Mac OS X 10.5.x
Impatto: l'apertura di un documento Fun House può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: Xcode contiene un'applicazione di esempio chiamata Core Image Fun House che gestisce contenuti con l'estensione “.funhouse”. Un overflow del buffer può verificarsi in questa applicazione quando vengono elaborati file con estensione “.funhouse”. L'apertura di un file con estensione “.funhouse” pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Ringraziamo Kevin Finisterre di Netragard per aver segnalato il problema.
WebObjects
CVE-ID: CVE-2008-2318
Disponibile per: Mac OS X 10.5.x
Impatto: gli ID della sessione WebObjects possono essere divulgati ad altri siti web
Descrizione: WebObjects contiene un'API per generare URL nei documenti HTML mediante l'elemento dinamico WOHyperlink. Quando si utilizza WOHyperlink, aggiunge sempre un ID sessione all'URL generato, anche in caso di URL assoluti. L'utilizzo di WOHyperlink per creare URL che indirizzano ad altri siti web può causare la divulgazione dell'ID sessione corrente dell'utente a questi siti. Questo aggiornamento risolve il problema aggiungendo ID sessione a URL assoluti solo quando espressamente richiesto.
Importante: le informazioni sui prodotti non realizzati da Apple vengono fornite solo a scopo informativo e non costituiscono raccomandazione né approvazione da parte di Apple. Per ulteriori informazioni, contatta il fornitore.