Om sikkerhetsinnholdet i Xcode-verktøy 3.1

Dette dokumentet beskriver sikkerhetsinnholdet i Xcode-verktøy 3.1.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

Mer informasjon finnes her: Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple-sikkerhetsoppdateringer.

Xcode-verktøy 3.1.

  • CoreImage Examples

    CVE-ID: CVE-2008-2304

    Tilgjengelig for: Mac OS X v10.5.x

    Virkning: Åpning av et Fun House-dokument kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Xcode-verktøyene inneholder et eksempelprogram kalt Core Image Fun House som håndterer innhold av filtypen «.funhouse.» En bufferoverflyt kan oppstå i dette programmet når det behandler filer med filtypen «.funhouse.» Åpning av en skadelig «.funhouse.»-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret grensekontroll. Takk til Kevin Finisterre fra Netragard som rapporterte dette problemet.

  • WebObjects

    CVE-ID: CVE-2008-2318

    Tilgjengelig for: Mac OS X v10.5.x

    IVirkning: WebObjects økts-ID-er kan bli avslørt til andre nettsteder

    Beskrivelse: WebObjects inneholder en API for å generere nettadresser i HTML-dokumenter via det dynamiske WOHyperlink-elementet. Når WOHyperlink brukes, legger det alltid til en økts-ID til den genererte nettadressen, selv for absolutte nettadresser. Bruk av WOHyperlink til å opprette nettadresser som peker på andre nettadresser kan føre til at den gjeldende brukerens økt-ID avsløres til disse nettstedene. Denne oppdateringen løser problemet ved å legge til økt-ID-er til absolutte nettadresser kun når det eksplisitt blir forespurt.

Viktig: Informasjon om produkter som ikke er produsert av Apple, oppgis kun for informasjonsformål og utgjør ikke noen godkjenning eller anbefaling fra Apple. Du kan kontakte leverandøren for å få mer informasjon.

Publiseringsdato: