Over de beveiligingsinhoud van Xcode-tools 3.1

In dit document wordt de beveiligingsinhoud van Xcode-tools 3.1 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Raadpleeg de website Apple productbeveiliging voor meer informatie over de Apple-productbeveiliging.

Zie 'How to use the Apple Product Security PGP Key' (Hoe gebruikt u de Apple PGP-sleutel voor productbeveiliging) voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's gebruikt om verwijzingen te bieden voor kwetsbare punten voor nadere informatie.

Zie 'Apple beveiligingsupdates' voor meer informatie over andere beveiligingsupdates.

Dit artikel is gearchiveerd en wordt niet meer bijgewerkt door Apple.

Xcode-tools 3.1

  • CoreImage-voorbeelden

    CVE-ID: CVE-2008-2304

    Beschikbaar voor: Mac OS X v10.5.x

    Effect: het openen van een Fun House-document kan het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code tot gevolg hebben

    Beschrijving: Xcode-tools bevatten een voorbeeldenprogramma genaamd Core Image Fun House waarin u inhoud in de .funhouse-indeling kunt gebruiken. Er kan een buffer-overflow optreden in dit programma wanneer .funhouse-bestanden worden verwerkt. Het openen van een kwaadwillig vervaardigd .funhouse-bestand kan het onverwacht afsluiten van een programma of het uitvoeren van willekeurige code tot gevolg hebben. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking. Met dank aan Kevin Finisterre van Netragard voor het melden van deze kwestie.

  • WebObjects

    CVE-ID: CVE-2008-2318

    Beschikbaar voor: Mac OS X v10.5.x

    Effect: WebObjects-sessie-ID's worden mogelijk openbaar gemaakt aan andere websites

    Beschrijving: WebObjects bevatten een API voor het genereren van URL's in HTML-documenten via het dynamische WOHyperlink-element. Wanneer WOHyperlink wordt gebruikt, wordt altijd een sessie-ID aan de gegenereerde URL toegevoegd, zelfs voor absolute URL's. Wanneer u WOHyperlink gebruikt om URL's te maken die naar andere websites verwijzen, kan de sessie-ID van de huidige gebruiker aan die sites openbaar worden gemaakt. In deze update wordt het probleem verholpen door alleen sessie-ID's aan absolute URL's toe te voegen wanneer hier uitdrukkelijk om wordt gevraagd.

 

Belangrijk: Informatie over producten die niet door Apple zijn vervaardigd, is alleen bedoeld voor informatieve doeleinden en impliceert niet dat Apple deze producten goedkeurt of aanbeveelt. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: