เกี่ยวกับเนื้อหาด้านความปลอดภัยของเครื่องมือ Xcode 3.1
เอกสารฉบับนี้อธิบายเนื้อหาด้านความปลอดภัยของเครื่องมือ Xcode 3.1
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบอย่างเต็มรูปแบบ และมีแพตช์หรือรายการอัปเดตที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์
ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ได้ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้
หากต้องการเรียนรู้เกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ โปรดดู "รายการอัปเดตความปลอดภัยของ Apple"
เครื่องมือ Xcode 3.1
CoreImage Examples
CVE-ID: CVE-2008-2304
มีให้สำหรับ: Mac OS X v10.5.x
ผลกระทบ: การเปิดเอกสาร Fun House อาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: เครื่องมือ Xcode มีแอปพลิเคชันตัวอย่างชื่อ Core Image Fun House ซึ่งจัดการกับคอนเทนต์ที่มีนามสกุล ".funhouse" แต่อาจมี Buffer Overflow เกิดขึ้นในแอปพลิเคชันนี้เพื่อประมวลผลไฟล์ ".funhouse" และการเปิดไฟล์ ".funhouse" ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ขอขอบคุณ Kevin Finisterre จาก Netragard ที่รายงานปัญหานี้
WebObjects
CVE-ID: CVE-2008-2318
มีให้สำหรับ: Mac OS X v10.5.x
ผลกระทบ: อาจมีการเปิดเผยเซสชั่น ID ของ WebObjects กับเว็บไซต์อื่น
คำอธิบาย: WebObjects มี API สำหรับสร้าง URL ในเอกสาร HTML ผ่านทางองค์ประกอบไดนามิกที่ชื่อ WOHyperlink จากนั้นเมื่อใช้ WOHyperlink จะมีการเติมเซสชั่น ID ต่อท้าย URL ที่สร้างขึ้นเสมอ ถึงแม้จะเป็น URL แบบ Absolute ก็ตาม และการใช้ WOHyperlink เพื่อสร้าง URL ที่ชี้ไปยังเว็บไซต์อื่นอาจส่งผลให้มีการเปิดเผยเซสชั่น ID ปัจจุบันของผู้ใช้กับไซต์เหล่านั้น รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการเติมเซสชั่น ID ต่อท้าย URL แบบ Absolute ก็ต่อเมื่อมีการร้องขออย่างชัดเจนเท่านั้น
ข้อสำคัญ: ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ Apple ไม่ได้ผลิตขึ้นมีไว้เพื่อแจ้งให้ทราบเท่านั้น และไม่ถือเป็นการแนะนำหรือการรับรองของ Apple แต่อย่างใด โปรด ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม