Sobre o conteúdo de segurança das ferramentas do Xcode 3.1
Este documento descreve o conteúdo de segurança das ferramentas do Xcode 3.1.
Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo "Como usar a Chave PGP de Segurança do Produto Apple".
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".
Ferramentas do Xcode 3.1
CoreImage Examples
CVE-ID: CVE-2008-2304
Disponível para: Mac OS X 10.5.x
Impacto: abrir um documento Fun House pode levar ao encerramento inesperado do aplicativo ou à execução arbitrária de códigos
Descrição: as ferramentas do Xcode contêm um exemplo de aplicativo chamado Core Image Fun House que lida com conteúdo com a extensão ".funhouse". Um estouro de buffer pode ocorrer nesse aplicativo ao processar arquivos ".funhouse". Abrir o arquivo ".funhouse" criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esta atualização resolve o problema por meio de uma verificação de limites aprimorada. Agradecemos a Kevin Finisterre da Netragard por comunicar o problema.
WebObjects
CVE-ID: CVE-2008-2318
Disponível para: Mac OS X 10.5.x
Impacto: IDs de sessão do WebObjects podem ser divulgados para outros sites
Descrição: WebObjects contém uma API para gerar URLs em documentos HTML por meio do elemento dinâmico WOHyperlink. Quando o WOHyperlink é usado, ele sempre anexa um ID de sessão ao URL gerado, mesmo para URLs absolutos. Usar o WOHyperlink para criar URLs que apontam para outros sites pode resultar na divulgação do ID de sessão do usuário atual para esses sites. Esta atualização resolve o problema anexando IDs de sessão a URLs absolutos somente quando solicitado explicitamente.
Importante: as informações sobre produtos de outros fabricantes são apenas para fins informativos e não constituem nenhum tipo de aval ou recomendação da Apple. Entre em contato com o fornecedor para obter mais informações.