Zawartość związana z zabezpieczeniami w narzędziach Xcode 3.1

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w narzędziach Xcode 3.1.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Narzędzia Xcode 3.1

• CoreImage Examples

  Identyfikator CVE: CVE-2008-2304

  Dostępne dla: systemów Mac OS X 10.5.x

  Zagrożenie: otwarcie dokumentu Fun House może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

  Opis: narzędzia Xcode zawierają przykładową aplikację o nazwie Core Image Fun House, która obsługuje zawartość z rozszerzeniem .funhouse. Podczas przetwarzania plików .funhouse w tej aplikacji może wystąpić przepełnienie buforu. Otwarcie złośliwie spreparowanego pliku .funhouse może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez ulepszenie sprawdzania granic. Problem został zgłoszony przez Kevina Finisterre'a z Netragard.

• WebObjects

  Identyfikator CVE: CVE-2008-2318

  Dostępne dla: systemów Mac OS X 10.5.x

  Zagrożenie: identyfikatory sesji WebObjects mogą być ujawniane innym witrynom internetowym.

  Opis: WebObjects zawiera interfejs API do generowania adresów URL w dokumentach HTML za pośrednictwem dynamicznego elementu WOHyperlink. W przypadku użycia WOHyperlink do generowanego adresu URL zawsze dołączany jest identyfikator sesji, nawet w przypadku bezwzględnych adresów URL. Używanie WOHyperlink do tworzenia adresów URL, które prowadzą do innych witryn internetowych, może skutkować ujawnieniem identyfikatora sesji bieżącego użytkownika tym witrynom. To uaktualnienie rozwiązuje ten problem, dołączając identyfikatory sesji do bezwzględnych adresów URL tylko wtedy, gdy jest to wyraźnie wymagane.