Safari 3.1.1의 보안 내용 정보

  • 최근 수정일: 05 5월, 2008
  • 문서: HT1467

요약

이 문서에서는 Safari 3.1.1의 보안 내용에 대해 설명합니다. 이 보안 내용은 소프트웨어 업데이트 환경설정 또는 Apple 다운로드를 통해 다운로드하여 설치할 수 있습니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 릴리즈가 준비될 때까지 보안 문제를 공개, 토론 또는 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 대한 자세한 내용은 "Apple 제품 보안 PGP 키 사용 방법"을 참조하십시오.

가능한 경우 CVE ID를 사용하여 보안 취약점에 대한 추가 정보를 참조할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 Apple 보안 업데이트를 참조하십시오.

적용 제품

제품 보안, Safari 3.1, Safari 3 (Windows)

Safari 3.1.1

  • Safari
    CVE-ID: CVE-2007-2398
    사용 대상: Windows XP 또는 Vista
    영향: 악의적으로 제작된 웹 사이트는 주소 막대의 내용을 제어할 수 있습니다.
    설명: Safari 3.1의 타이밍 문제로 인해 웹 페이지가 해당 페이지의 내용을 로드하지 않고 주소 막대의 내용을 변경할 수 있습니다. 이 문제를 이용하면 합법적인 사이트의 내용을 스푸핑하여, 사용자 자격 증명이나 다른 정보를 수집할 수 있습니다. 이 문제는 Safari Beta 3.0.2에서 해결되었지만 Safari 3.1에서 다시 발생했습니다. 이 업데이트는 새 웹 페이지에 대한 요청이 중단되면 주소 막대 내용을 복원하여 문제를 해결합니다. 이 문제는 Mac OS X 시스템에는 영향을 미치지 않습니다.

     

  • Safari
    CVE-ID: CVE-2008-1024
    사용 대상: Windows XP 또는 Vista
    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다.
    설명: Safari에서 파일을 다운로드하는 데 메모리 손상 문제가 있습니다. 공격자는 악의적으로 제작된 이름을 갖는 파일을 사용자가 다운로드하도록 유도하여, 응용 프로그램이 예기치 않게 중단되도록 하거나 임의 코드가 실행되게 할 수 있습니다. 이 업데이트에서는 향상된 파일 다운로드 처리 기능을 통해 문제를 해결합니다. 이 문제는 Mac OS X 시스템에는 영향을 미치지 않습니다.

     

  • WebKit
    CVE-ID: CVE-2008-1025
    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP 또는 Vista
    영향: 악의적인 웹 사이트를 방문하는 경우 크로스 사이트 스크립팅이 발생할 수 있습니다.
    설명: 호스트 이름에 콜론을 포함하는 URL을 WebKi에서 처리하는 데 문제가 있습니다. 악의적으로 제작된 URL을 여는 경우 크로스 사이트 스크립팅 공격이 발생할 수 있습니다. 이 업데이트에서는 향상된 URL 처리 기능을 통해 문제를 해결합니다. 이 문제는 David Bloom과 Google 정보 보안 팀의 Robert Swiecki가 보고했습니다.

     

  • WebKit
    CVE-ID: CVE-2008-1026
    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP 또는 Vista
    영향: 악의적으로 제작된 웹 페이지를 보는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다.
    설명: WebKit에서 JavaScript 정규식을 처리하는 데 힙 버퍼 오버플로가 있습니다. 반복 횟수가 많고 중첩되는 정규식을 처리할 때 JavaScript를 통해 문제가 발생할 수 있습니다. 이로 인해 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 JavaScript 정규식을 추가로 인증하여 문제를 해결합니다. 이 문제는 Charlie Miller가 보고했습니다.

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.