Safari 3.1.1의 보안 콘텐츠에 관하여

본 문서는 Safari 3.1.1의 보안 콘텐츠에 관하여 설명하며, 해당 콘텐츠는 소프트웨어 업데이트 환경설정 또는 Apple 다운로드를 통해 다운로드 및 설치하실 수 있습니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.

Safari 3.1.1

Safari

CVE-ID: CVE-2007-2398

대상: Windows XP 또는 Vista

영향: 악의적으로 제작된 웹 사이트에서 주소 막대의 콘텐츠를 제어할 수 있음.

설명: Safari 3.1의 타이밍 문제로 인해 웹 페이지에서 해당 페이지의 콘텐츠를 로드하지 않고 주소 막대의 콘텐츠를 변경할 수 있습니다. 이 문제는 합법적인 사이트의 콘텐츠를 스푸핑하는 데 악용될 수 있으며, 이를 통해 사용자 자격 증명 또는 기타 정보를 수집할 수 있습니다. 이 문제는 Safari 베타 3.0.2에서 해결되었지만 Safari 3.1에서 다시 발생했습니다. 이 업데이트에서는 새 웹 페이지에 대한 요청이 중단되었을 경우 주소 막대 콘텐츠를 복원하여 문제를 해결합니다. 이 문제는 Mac OS X 시스템에 영향을 주지 않습니다.

Safari

CVE-ID: CVE-2008-1024

대상: Windows XP 또는 Vista

영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음.

설명: Safari에서 파일을 다운로드할 때 메모리 손상 문제가 발생합니다. 공격자는 악의적으로 제작된 이름의 파일을 다운로드하도록 사용자를 유인하여 응응용 프로그램이 예기치 않게 종료되거나 임의의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 파일 다운로드 처리 기능을 통해 문제를 해결합니다. 이 문제는 Mac OS X 시스템에 영향을 주지 않습니다.

WebKit

CVE-ID: CVE-2008-1025

대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP 또는 Vista

영향: 악의적인 웹 사이트를 방문하면 크로스 사이트 스크립팅이 발생할 수 있습니다.

설명: WebKit에서 호스트 이름에 콜론 문자가 포함된 URL을 처리할 때 문제가 발생합니다. 악의적으로 제작된 URL을 열면 크로스 사이트 스크립팅 공격을 받을 수 있습니다. 이 업데이트에서는 향상된 URL 처리 기능을 통해 문제를 해결합니다. 이 문제를 보고해 주신 David Bloom 님과 Google Information Security Team의 Robert Swiecki 님께 감사드립니다.

WebKit

CVE-ID: CVE-2008-1026

대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP 또는 Vista

영향: 악의적으로 제작된 웹 페이지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의의 코드가 실행될 수 있음.

설명: WebKit에서 JavaScript 정규식을 처리할 때 힙 버퍼 오버플로우가 발생합니다. 이 문제는 반복 횟수가 많고 중첩되는 정규식을 처리할 때 JavaScript를 통해 발생할 수 있습니다. 이로 인해 응용 프로그램이 예기치 않게 종료되거나 임의의 코드가 실행될 수 있습니다. 이 업데이트에서는 JavaScript 정규식의 유효성 확인을 추가적으로 수행하여 문제를 해결합니다. 이 문제를 보고해주신 TippingPoint의 Zero Day Initiative 소속 Charlie Miller 님, Jake Honoroff 님 및 Mark Daniel 님께 감사드립니다.