เกี่ยวกับเนื้อหาด้านความปลอดภัยของเครื่องมือ Xcode 3.1

เอกสารฉบับนี้อธิบายเนื้อหาด้านความปลอดภัยของเครื่องมือ Xcode 3.1

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบอย่างเต็มรูปแบบ และมีแพตช์หรือรายการอัปเดตที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ได้ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

หากต้องการเรียนรู้เกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ โปรดดู "รายการอัปเดตความปลอดภัยของ Apple"

เครื่องมือ Xcode 3.1

• CoreImage Examples

  CVE-ID: CVE-2008-2304

  มีให้สำหรับ: Mac OS X v10.5.x

  ผลกระทบ: การเปิดเอกสาร Fun House อาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

  คำอธิบาย: เครื่องมือ Xcode มีแอปพลิเคชันตัวอย่างชื่อ Core Image Fun House ซึ่งจัดการกับคอนเทนต์ที่มีนามสกุล ".funhouse" แต่อาจมี Buffer Overflow เกิดขึ้นในแอปพลิเคชันนี้เพื่อประมวลผลไฟล์ ".funhouse" และการเปิดไฟล์ ".funhouse" ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ขอขอบคุณ Kevin Finisterre จาก Netragard ที่รายงานปัญหานี้

• WebObjects

  CVE-ID: CVE-2008-2318

  มีให้สำหรับ: Mac OS X v10.5.x

  ผลกระทบ: อาจมีการเปิดเผยเซสชั่น ID ของ WebObjects กับเว็บไซต์อื่น

  คำอธิบาย: WebObjects มี API สำหรับสร้าง URL ในเอกสาร HTML ผ่านทางองค์ประกอบไดนามิกที่ชื่อ WOHyperlink จากนั้นเมื่อใช้ WOHyperlink จะมีการเติมเซสชั่น ID ต่อท้าย URL ที่สร้างขึ้นเสมอ ถึงแม้จะเป็น URL แบบ Absolute ก็ตาม และการใช้ WOHyperlink เพื่อสร้าง URL ที่ชี้ไปยังเว็บไซต์อื่นอาจส่งผลให้มีการเปิดเผยเซสชั่น ID ปัจจุบันของผู้ใช้กับไซต์เหล่านั้น รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการเติมเซสชั่น ID ต่อท้าย URL แบบ Absolute ก็ต่อเมื่อมีการร้องขออย่างชัดเจนเท่านั้น