iPhone v2.0 및 iPod touch v2.0의 보안 콘텐츠에 관하여

이 문서에서는 iPhone v2.0 및 iPod touch v2.0의 보안 콘텐츠에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.

iPhone v2.0 및 iPod touch v2.0

• CFNetwork

  CVE-ID: CVE-2008-0050

  대상: iPhone v1.0~v1.1.4, iPod touch v1.1~v1.1.4

  영향: 악성 프록시 서버에서 보안 웹 사이트를 스푸핑할 수 있음

  설명: 악성 HTTPS 프록시 서버에서 임의 데이터를 CFNetwork에 반환하여 502 잘못된 게이트웨이 오류를 야기할 수 있으며, 이로 인해 보안 웹 사이트가 스푸핑될 수 있습니다. 이 업데이트는 오류 조건에서 프록시 제공 데이터를 반환하지 않는 방식으로 문제를 해결합니다.

• Kernel

  CVE-ID: CVE-2008-0177

  대상: iPhone v1.0~v1.1.4, iPod touch v1.1~v1.1.4

  영향: 원격 공격자가 예기치 않은 기기 재설정을 야기할 수 있음

  설명: IPComp 헤더가 있는 패킷을 처리할 때 감지되지 않는 문제 조건이 있습니다. 악의적으로 제작된 패킷을 IPSec 또는 IPv6를 사용하도록 구성된 시스템으로 전송하면 기기가 예기치 않게 재설정될 수 있습니다. 이 업데이트에서는 문제 상태를 올바르게 감지하여 문제를 해결합니다.

• Safari

  CVE-ID: CVE-2008-1588

  대상: iPhone v1.0~v1.1.4, iPod touch v1.1~v1.1.4

  영향: 유니코드 표의 문자 공백이 웹 사이트를 스푸핑하는 데 사용될 수 있음

  설명: Safari의 주소 막대에 현재 URL이 표시되면 유니코드 표의 문자 공백이 렌더링됩니다. 이 경우 악의적으로 제작된 웹 사이트에서 적법한 도메인인 것처럼 보이는 스푸핑된 사이트로 사용자를 리디렉션할 수 있습니다. 이 업데이트는 주소 막대에서 유니코드 표의 문자 공백을 렌더링하지 않는 방식으로 이 문제를 해결합니다.

• Safari

  CVE-ID: CVE-2008-1589

  대상: iPhone v1.0~v1.1.4, iPod touch v1.1~v1.1.4

  영향: 악의적으로 제작된 웹 사이트를 방문하면 민감한 정보가 공개될 수 있음

  설명: Safari에서 자체 서명되었거나 유효하지 않은 인증서를 사용하는 웹 사이트에 접근하면 사용자에게 인증서를 수락하거나 거부하라는 메시지가 표시됩니다. 이 메시지가 표시된 상태에서 사용자가 메뉴 버튼을 누르면 다음번에 이 사이트를 방문할 때 메시지가 표시되지 않고 인증서가 수락됩니다. 이로 인해 민감한 정보가 공개될 수 있습니다. 이 업데이트는 향상된 인증서 처리를 통해 문제를 해결합니다. 이 문제를 보고해 주신 Hiromitsu Takagi 님께 감사드립니다.

• Safari

  CVE-ID: CVE-2008-2303

  대상: iPhone v1.0~v1.1.4, iPod touch v1.1~v1.1.4

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: Safari에서 JavaScript 배열 인덱스를 처리할 때 존재하는 부호 여부 문제로 인해 범위를 벗어난 메모리 접근 문제가 발생할 수 있습니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 업데이트는 JavaScript 배열 인덱스의 유효성을 추가적으로 확인하는 방식으로 문제를 해결합니다. 이 문제를 보고해 주신 Google의 SkyLined 님께 감사드립니다.

• Safari

  CVE-ID: CVE-2006-2783

  대상: iPhone v1.0~v1.1.4, iPod touch v1.1~v1.1.4

  영향: 악의적으로 제작된 웹 사이트를 방문하면 크로스 사이트 스크립팅이 발생할 수 있음

  설명: Safari는 웹 페이지를 구문 분석할 때 유니코드 바이트 순서 표시 시퀀스를 무시합니다. 특정 웹 사이트 및 웹 콘텐츠 필터의 경우 특정 HTML 태그를 차단하여 입력을 삭제하려고 시도합니다. 이러한 필터링 방식은 바이트 순서 표시 시퀀스가 포함된 악의적으로 제작된 HTML 태그가 존재할 경우 우회되어 크로스 사이트 스크립팅을 야기할 수 있습니다. 이 업데이트는 향상된 바이트 순서 표시 시퀀스 처리를 통해 문제를 해결합니다. 이 문제를 보고해 주신 Casaba Security, LLC의 Chris Weber 님께 감사드립니다.

• Safari

  CVE-ID: CVE-2008-2307

  대상: iPhone v1.0~v1.1.4, iPod touch v1.1~v1.1.4

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 JavaScript 배열을 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 범위 검사를 통해 문제를 해결합니다. 이 문제를 보고해 주신 James Urquhart 님께 감사드립니다.

• Safari

  CVE-ID: CVE-2008-2317

  대상: iPhone v1.0~v1.1.4, iPod touch v1.1~v1.1.4

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebCore에서 스타일 시트 요소를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 업데이트는 향상된 가비지 모음을 통해 문제를 해결합니다. 이 문제를 보고해 주신 TippingPoint Zero Day Initiative에 참여 중인 익명의 연구원님께 감사드립니다.

• Safari

  CVE-ID: CVE-2007-6284

  대상: iPhone v1.0~v1.1.4, iPod touch v1.1~v1.1.4

  영향: XML 문서를 처리하면 서비스 거부가 발생할 수 있음

  설명: 올바르지 않은 UTF-8 시퀀스가 포함된 XML 문서를 처리할 때 메모리 소모 문제가 발생하며, 이로 인해 서비스 거부가 야기될 수 있습니다. 이 업데이트는 libxml2 시스템 라이브러리를 2.6.16 버전으로 업데이트하는 방식으로 문제를 해결합니다.

• Safari

  CVE-ID: CVE-2008-1767

  대상: iPhone v1.0~v1.1.4, iPod touch v1.1~v1.1.4

  영향: XML 문서를 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: libxslt 라이브러리에 메모리 손상 문제가 존재합니다. 악의적으로 제작된 HTML 페이지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의의 코드가 실행될 수 있습니다. 적용되는 패치에 대한 자세한 내용은 xmlsoft.org 웹 사이트(http://xmlsoft.org/XSLT/)에서 확인할 수 있습니다. 이 문제를 보고해 주신 Outpost24 AB의 Anthony de Almeida Lopes 님과 Google Security Team의 Chris Evans 님께 감사드립니다.

• WebKit

  CVE-ID: CVE-2008-1590

  대상: iPhone v1.0~v1.1.4, iPod touch v1.1~v1.1.4

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: JavaScriptCore에서 런타임 가비지 모음을 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 업데이트는 향상된 가비지 모음을 통해 문제를 해결합니다. 이 문제를 보고해 주신 Radware의 Itzik Kotler 님과 Jonathan Rom 님께 감사드립니다.

• WebKit

  CVE-ID: CVE-2008-1025

  대상: iPhone v1.0~v1.1.4, iPod touch v1.1~v1.1.4

  영향: 악의적으로 제작된 URL에 접근하면 크로스 사이트 스크립팅이 발생할 수 있음

  설명: WebKit에서 호스트 이름에 콜론 문자가 포함된 URL을 처리할 때 문제가 발생합니다. 악의적으로 제작된 URL에 접근하면 크로스 사이트 스크립팅 공격을 당할 수 있습니다. 이 업데이트에서는 향상된 URL 처리 기능을 통해 문제를 해결합니다. 이 문제를 보고해 주신 David Bloom 님과 Google Security Team의 Robert Swiecki 님께 감사드립니다.

• WebKit

  CVE-ID: CVE-2008-1026

  대상: iPhone v1.0~v1.1.4, iPod touch v1.1~v1.1.4

  영향: 악의적으로 제작된 웹 페이지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 JavaScript 정규 표현식을 처리할 때 힙 버퍼 오버플로우가 발생합니다. 이 문제는 반복 횟수가 많고 중첩되는 정규식을 처리할 때 JavaScript를 통해 발생할 수 있습니다. 이로 인해 응용 프로그램이 예기치 않게 종료되거나 임의의 코드가 실행될 수 있습니다. 이 업데이트에서는 JavaScript 정규식의 유효성 확인을 추가적으로 수행하여 문제를 해결합니다. 이 문제를 보고해 주신 Independent Security Evaluators의 Charlie Miller 님께 감사드립니다.