Informacije o sigurnosnom sadržaju alata Xcode 3.1

U ovom se dokumentu opisuje sigurnosni sadržaj alata Xcode 3.1.

Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda.”

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o ostalim sigurnosnim ažuriranjima, pogledajte „Appleova sigurnosna ažuriranja.”

Alati Xcode 3.1

  • CoreImage Examples

    CVE-ID: CVE-2008-2304

    Dostupno za: Mac OS X v10.5.x

    Učinak: otvaranje dokumenta Fun House može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvodljnog koda

    Opis: alati Xcode sadržavaju oglednu aplikaciju koja se zove Core Image Fun House i rukuje sadržaje s ekstenzijom „.funhouse”. U toj aplikaciji može doći do prekoračenja međuspremnika pri obradi datoteka „.funhouse”. Otvaranje zlonamjerno izrađene datoteke „.funhouse” može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. To ažuriranje rješava problem poboljšanom provjerom ograničenja. Zahvaljujemo Kevinu Finisterreu (Netragard) na prijavi ovog problema.

  • WebObjects

    CVE-ID: CVE-2008-2318

    Dostupno za: Mac OS X v10.5.x

    Učinak: ID-jevi sesija za WebObjects mogu se otkriti drugim web-mjestima

    Opis: WebObjects sadržava API za generiranje URL-ova u HTML dokumentima putem WOHyperlink dinamičkog elementa. Kad se upotrebljava WOHyperlink, generiranom URL-u uvijek se dodaje ID sesije, čak i za apsolutne URL-ove. Ako se WOHyperlink upotrebljava za izradu URL-ova koji upućuju na druga web-mjesta, to može rezultirati otkrivanjem ID-ja trenutačne korisničke sesije tim sesijama. To ažuriranje rješava problem dodavanjem ID-jeva sesije apsolutnim URL-ovima samo kad se to eksplicitno zatraži.

Važno: informacije o proizvodima koje ne proizvodi Apple samo su informativne naravi i ne predstavljaju Appleovo odobravanje ni preporuku. Obratite se dobavljaču za više informacija.

Datum objave: