關於 Xcode 工具 3.1 的安全性內容

本文說明 Xcode 工具 3.1 的安全性內容。

為保障客戶的安全，在進行完整調查並提供所有必要的修補程式或版本之前，Apple 不會揭露、討論或確認安全性問題。若要進一步了解 Apple 產品安全性，請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊，請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能，CVE ID 會用來參考安全漏洞，以取得進一步資訊。

若要了解其他安全性更新，請參閱「Apple 安全性更新」。

Xcode 工具 3.1

• CoreImage Examples

  CVE-ID：CVE-2008-2304

  適用於：Mac OS X v10.5.x

  影響：開啟 Fun House 文件可能會導致應用程式無預警終止，或執行任意程式碼

  說明：Xcode 工具包含一個名為 Core Image Fun House 的範例應用程式，可處理副檔名為「.funhouse」的內容。處理「.funhouse」檔案時，應用程式中可能會發生緩衝區溢位。開啟惡意製作的「.funhouse」檔案，可能會導致應用程式無預警終止或執行任意程式碼。此更新會改進界限檢查機制，藉此解決問題。感謝 Netragard 的 Kevin Finisterre 回報此問題。

• WebObjects

  CVE-ID：CVE-2008-2318

  適用於：Mac OS X v10.5.x

  影響：WebObjects 工作階段 ID 可能會外洩到其他網站

  說明：WebObjects 包含一個透過 WOHyperlink 動態元素在 HTML 文件中產生 URL 的 API。若有使用 WOHyperlink，一律會加上工作階段 ID 來產生 URL，即使處理絕對 URL 也是如此。使用 WOHyperlink 來建立連結到其他網站的 URL，可能會導致將目前使用者的工作階段 ID 外洩到這些網站。此更新透過只有收到明確要求時才會在絕對 URL 中加上工作階段 ID，藉此解決這個問題。