Despre conținutul de securitate din Xcode tools 3.1
Acest document descrie conținutul de securitate din Xcode tools 3.1
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple.”
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.
Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple”.
Xcode tools 3.1
CoreImage Examples
CVE-ID: CVE-2008-2304
Disponibilitate pentru: Mac OS X v10.5.x
Impact: deschiderea unui document Fun House poate duce la o închidere neașteptată a aplicației sau la executarea de cod arbitrar
Descriere: instrumentele Xcode conțin un exemplu de aplicație numită Core Image Fun House care gestionează conținutul cu extensia „.funhouse”. Poate avea loc o depășire a memoriei tampon în această aplicație la procesarea fișierelor „.funhouse”. Deschiderea unui fișier „.funhouse” creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea de cod arbitrar. Această actualizare rezolvă problema prin îmbunătățirea verificării limitelor. Îi mulțumim lui Kevin Finisterre de la Netragard pentru raportarea acestei probleme.
WebObjects
CVE-ID: CVE-2008-2318
Disponibilitate pentru: Mac OS X v10.5.x
Impact: ID-urile de sesiune WebObjects pot fi dezvăluite altor site-uri web
Descriere: WebObjects conține un API pentru a genera adrese URL în documente HTML prin elementul dinamic WOHyperlink. Când se utilizează WOHyperlink, acesta adaugă întotdeauna un ID de sesiune la adresa URL generată, chiar și pentru adresele URL absolute. Utilizarea WOHyperlink pentru a crea URL-uri care indică alte site-uri web poate duce la dezvăluirea ID-ului de sesiune al utilizatorului curent către site-urile respective. Această actualizare abordează problema adăugând ID-uri de sesiune la adresele URL absolute numai atunci când se solicită în mod explicit.
Important: informațiile despre produse care nu sunt fabricate de Apple sunt furnizate doar în scop informativ și nu constituie recomandarea sau aprobarea Apple. Pentru informații suplimentare, contactează furnizorul.