Проблеми системи безпеки, які усунено в інструментах Xcode 3.1

У цьому документі описано проблеми системи безпеки, які усунено в інструментах Xcode 3.1.

Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки повністю не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте вебсайт, присвячений безпеці продуктів Apple.

Відомості про ключ PGP безпеки продуктів Apple наведено в статті Як використовувати ключ PGP безпеки продуктів Apple.

Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.

Відомості про інші оновлення системи безпеки наведено в статті Випуски безпеки Apple.

Інструменти Xcode 3.1

  • Приклади CoreImage

    CVE-ID: CVE-2008-2304

    Доступно для: Mac OS X версії 10.5.x

    Вплив: відкриття документа Fun House може призвести до неочікуваного завершення програми або довільного виконання коду

    Опис: інструменти Xcode містять приклад програми під назвою Core Image Fun House, яка обробляє вміст із розширенням .funhouse. Під час обробки файлів із розширенням .funhouse у цій програмі може відбутися переповнення буфера. Відкриття шкідливого файлу з розширенням .funhouse може призвести до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему за рахунок покращення перевірки меж. Дякуємо Кевіну Фіністеру з Netragard за повідомлення про цю проблему.

  • WebObjects

    CVE-ID: CVE-2008-2318

    Доступно для: Mac OS X версії 10.5.x

    Вплив: ідентифікатори сеансу WebObjects можуть бути розголошені іншим вебсайтам

    Опис: сервер WebObjects містить API для створення URL-адрес у документах HTML через динамічний елемент WOHyperlink. Коли використовується елемент WOHyperlink, він завжди додає ідентифікатор сеансу до створеної URL-адреси, навіть для абсолютних URL-адрес. Використання WOHyperlink для створення URL-адрес, які вказують на інші вебсайти, може призвести до розкриття ідентифікатора поточного сеансу користувача цим сайтам. Це оновлення вирішує проблему, додаючи ідентифікатори сеансу до абсолютних URL-адрес лише за наявності точного запиту.

Важливо. Відомості про продукти, які не виготовлено компанією Apple, надаються лише в інформаційних цілях і не є рекомендацією чи заявою про підтримку компанією Apple. Зв’яжіться з постачальником послуг, щоб отримати додаткову інформацію.

Дата опублікування: