Sobre o conteúdo de segurança das ferramentas do Xcode 3.1

Este documento descreve o conteúdo de segurança das ferramentas do Xcode 3.1.

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo "Como usar a Chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".

Ferramentas do Xcode 3.1

  • CoreImage Examples

    CVE-ID: CVE-2008-2304

    Disponível para: Mac OS X 10.5.x

    Impacto: abrir um documento Fun House pode levar ao encerramento inesperado do aplicativo ou à execução arbitrária de códigos

    Descrição: as ferramentas do Xcode contêm um exemplo de aplicativo chamado Core Image Fun House que lida com conteúdo com a extensão ".funhouse". Um estouro de buffer pode ocorrer nesse aplicativo ao processar arquivos ".funhouse". Abrir o arquivo ".funhouse" criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esta atualização resolve o problema por meio de uma verificação de limites aprimorada. Agradecemos a Kevin Finisterre da Netragard por comunicar o problema.

  • WebObjects

    CVE-ID: CVE-2008-2318

    Disponível para: Mac OS X 10.5.x

    Impacto: IDs de sessão do WebObjects podem ser divulgados para outros sites

    Descrição: WebObjects contém uma API para gerar URLs em documentos HTML por meio do elemento dinâmico WOHyperlink. Quando o WOHyperlink é usado, ele sempre anexa um ID de sessão ao URL gerado, mesmo para URLs absolutos. Usar o WOHyperlink para criar URLs que apontam para outros sites pode resultar na divulgação do ID de sessão do usuário atual para esses sites. Esta atualização resolve o problema anexando IDs de sessão a URLs absolutos somente quando solicitado explicitamente.

Importante: as informações sobre produtos de outros fabricantes são apenas para fins informativos e não constituem nenhum tipo de aval ou recomendação da Apple. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: