Dit artikel is gearchiveerd en wordt niet meer bijgewerkt door Apple.

Over de beveiligingsinhoud van Xcode-tools 3.1

In dit document wordt de beveiligingsinhoud van Xcode-tools 3.1 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Xcode-tools 3.1

  • CoreImage-voorbeelden

    CVE-ID: CVE-2008-2304

    Beschikbaar voor: Mac OS X v10.5.x

    Impact: het openen van een Fun House-document kan het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code tot gevolg hebben

    Beschrijving: Xcode-tools bevatten een voorbeeldenprogramma genaamd Core Image Fun House waarin je inhoud in de .funhouse-indeling kunt gebruiken. Er kan een bufferoverloop optreden in dit programma wanneer .funhouse-bestanden worden verwerkt. Het openen van een kwaadwillig vervaardigd .funhouse-bestand kan het onverwacht afsluiten van een programma of het uitvoeren van willekeurige code tot gevolg hebben. Deze update verhelpt het probleem door verbeterde bereikcontrole. Met dank aan Kevin Finsterre van Netragard voor het melden van dit probleem.

  • WebObjects

    CVE-ID: CVE-2008-2318

    Beschikbaar voor: Mac OS X v10.5.x

    Impact: WebObjects-sessie-ID's worden mogelijk openbaar gemaakt aan andere websites

    Beschrijving: WebObjects bevatten een API voor het genereren van URL's in HTML-documenten via het dynamische WOHyperlink-element. Wanneer WOHyperlink wordt gebruikt, wordt altijd een sessie-ID aan de gegenereerde URL toegevoegd, zelfs voor absolute URL's. Wanneer je WOHyperlink gebruikt om URL's te maken die naar andere websites verwijzen, kan de sessie-ID van de huidige gebruiker aan die sites openbaar worden gemaakt. In deze update wordt het probleem verholpen door alleen sessie-ID's aan absolute URL's toe te voegen wanneer hier uitdrukkelijk om wordt gevraagd.

Belangrijk: informatie over producten die niet door Apple zijn vervaardigd, wordt uitsluitend ter informatie verstrekt en houdt geen aanbeveling of goedkeuring van Apple in. Neem voor meer informatie contact op met de leverancier.

Publicatiedatum: