Om säkerhetsinnehållet i Xcode-verktygen 3.1

I det här dokumentet beskrivs säkerhetsinnehållet i Xcode-verktygen 3.1

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i ”Så här använder du en PGP-nyckel från Apple Product Security”.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i ”Säkerhetsuppdateringar från Apple”.

Xcode-verktyg 3.1

  • CoreImage Examples

    CVE-ID: CVE-2008-2304

    Tillgängligt för: Mac OS X 10.5.x

    Effekt: När ett Fun House-dokument öppnas kan det leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Xcode-verktyg innehåller ett exempelprogram som heter Core Image Fun House som hanterar innehåll med tillägget ".funhouse”. Ett buffertspill kan hända i det här programmet när ".funhouse”-filer behandlas. Visning av en skadlig ".funhouse"-fil kan leda till oväntad programavslutning eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom förbättrad kontroll av gränserna. Tack till Kevin Finisterre på Netragard som rapporterade problemet.

  • WebObjects

    CVE-ID: CVE-2008-2318

    Tillgängligt för: Mac OS X 10.5.x

    Effekt: WebObjects sessions-ID:n kan avslöjas för andra webbplatser

    Beskrivning: WebObjects innehåller en API för att generera webbadresser i HTML-dokument via WOHyperlink dynamic element. När WOHyperlink används lägger den alltid till ett sessions-ID till den genererade webbadressen, till och med i absoluta webbadresser. När WOHyperlink används för att skapa webbadresser som leder till andra webbplatser kan det leda till att den nuvarande användarens sessions-ID avslöjas för dessa webbplatser. Den här uppdateringen åtgärdar problemet genom att lägga till sessions-ID:n till absoluta webbadresser endast när det explicit begärs.

Viktigt! Information om produkter som inte tillverkas av Apple ges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Kontakta säljaren för ytterligare information.

Publiceringsdatum: