iPhone v2.0과 iPod touch v2.0의 보안 내용에 관하여
요약
이 도큐멘트에서는 iPhone v2.0과 iPod touch v2.0의 보안 내용에 대해 설명합니다.
Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 릴리즈가 준비될 때까지 보안 문제를 공개, 토론 또는 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.
Apple 제품 보안 PGP 키에 대한 자세한 내용은 "Apple 제품 보안 PGP 키 사용 방법"을 참조하십시오.
가능한 경우 CVE ID를 사용하여 취약점에 대한 추가 정보를 참조할 수 있습니다.
다른 보안 업데이트에 대한 자세한 내용은 "Apple 보안 업데이트"를 참조하십시오.
적용 제품
제품 보안
iPhone v2.0과 iPod touch v2.0
-
CFNetwork
CVE-ID: CVE-2008-0050
사용 대상: iPhone v1.0에서 v1.1.4까지, iPod touch v1.1에서 v1.1.4까지
영향: 악의적인 프록시 서버가 안전한 웹 사이트를 스푸핑할 수 있습니다.
설명: 악의적인 HTTPS 프록시 서버가 502 잘못된 게이트웨이 오류에서 임의 데이터를 CFNetwork에 반환할 수 있으며 이로 인해 안전한 웹 사이트가 스푸핑될 수 있습니다. 이 업데이트에서는 오류 조건에 프록시에서 제공되는 데이터를 반환하지 않는 방법으로 문제를 해결합니다.
-
커널
CVE-ID: CVE-2008-0177
사용 대상: iPhone v1.0에서 v1.1.4까지, iPod touch v1.1에서 v1.1.4까지
영향: 원격 공격자가 예상치 않은 장비 재설정을 야기할 수 있습니다.
설명: IPComp 헤더가 있는 패킷을 처리하는 중에 발견되지 않는 실패 조건이 발생할 수 있습니다. IPSec 또는 IPv6를 사용하도록 구성된 시스템에 악의적으로 제작된 패킷을 보내면 예상치 않은 장비 재설정을 야기할 수 있습니다. 이 업데이트에서는 실패 조건을 적절하게 확인하여 이 문제를 해결합니다.
-
Safari
CVE-ID: CVE-2008-1588
사용 대상: iPhone v1.0에서 v1.1.4까지, iPod touch v1.1에서 v1.1.4까지
영향: Unicode 상형 공간이 웹 사이트의 스푸핑에 사용됩니다.
설명: Safari에서 주소 막대에 현재 URL을 표시할 때 Unicode 상형 공간이 렌더링됩니다. 이 방법을 이용하여 악의적으로 제작된 웹 사이트에서 적법한 도메인처럼 보이도록 스푸핑된 웹 사이트로 사용자를 연결할 수 있습니다. 이 업데이트에서는 주소 막대에 Unicode 상형 공간을 렌더링하지 않는 방법으로 문제를 해결합니다.
-
Safari
CVE-ID: CVE-2008-1589
사용 대상: iPhone v1.0에서 v1.1.4까지, iPod touch v1.1에서 v1.1.4까지
영향: 악의적으로 제작된 웹 사이트에 방문하는 경우 중요한 정보가 공개될 수 있습니다.
설명: Safari에서 자체 서명되거나 유효하지 않은 인증서를 사용하는 웹 사이트에 액세스하면 사용자에게 인증서를 승인 또는 거절하라는 내용의 프롬프트가 표시됩니다. 사용자가 프롬프트에서 메뉴 버튼을 누르면 다음에 사이트를 방문할 때 프롬프트 없이 인증서가 승인됩니다. 이로 인해 중요한 정보가 공개될 수 있습니다. 이 업데이트에서는 향상된 인증서 처리 기능을 통해 문제를 해결합니다. 이 문제를 보고한 사람은 Hiromitsu Takagi입니다.
-
Safari
CVE-ID: CVE-2008-2303
사용 대상: iPhone v1.0에서 v1.1.4까지, iPod touch v1.1에서 v1.1.4까지
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다.
설명: Safari에서 JavaScript 배열 인덱스를 처리하는 동안 서명 문제로 인해 범위 외부의 메모리 액세스가 발생할 수 있습니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 JavaScript 배열 인덱스를 추가로 인증하여 문제를 해결합니다. 이 문제를 보고한 사람은 Google의 SkyLined입니다.
-
Safari
CVE-ID: CVE-2006-2783
사용 대상: iPhone v1.0에서 v1.1.4까지, iPod touch v1.1에서 v1.1.4까지
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 크로스 사이트 스크립팅이 발생할 수 있습니다.
설명: Safari에서는 웹 페이지를 분석할 때 Unicode 바이트 순서 표시 시퀀스를 무시합니다. 일부 웹 사이트 및 웹 컨텐츠 필터에서는 특정 HTML 태그를 차단하여 입력을 검열합니다. 바이트 순서 표시 시퀀스를 포함하여 악의적으로 제작된 HTML 태그를 접하면 이 필터링이 우회되어 크로스 사이트 스크립팅이 발생할 수 있습니다. 이 업데이트에서는 향상된 바이트 순서 표시 시퀀스 처리 기능으로 문제를 해결합니다. 이 문제를 보고한 사람은 Casaba Security, LLC의 Chris Weber입니다.
-
Safari
CVE-ID: CVE-2008-2307
사용 대상: iPhone v1.0에서 v1.1.4까지, iPod touch v1.1에서 v1.1.4까지
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다.
설명: WebKit에서 JavaScript 배열을 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 경계 검사를 통해 이 문제를 해결합니다. 이 문제를 보고한 사람은 James Urquhart입니다.
-
Safari
CVE-ID: CVE-2008-2317
사용 대상: iPhone v1.0에서 v1.1.4까지, iPod touch v1.1에서 v1.1.4까지
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다.
설명: WebCore에서 스타일 시트 요소를 처리할 때 메모리 손상 문제가 있습니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 가비지 모음 기능을 통해 이 문제를 해결합니다. 이 문제를 보고한 사람은 TippingPoint Zero Day Initiative에 참여 중인 Peter Vreudegnhil입니다.
-
Safari
CVE-ID: CVE-2007-6284
사용 대상: iPhone v1.0에서 v1.1.4까지, iPod touch v1.1에서 v1.1.4까지
영향: XML 도큐멘트 처리로 인해 서비스가 거부될 수 있습니다.
설명: 잘못된 UTF-8 시퀀스가 포함된 XML 도큐멘트를 처리하는 경우 메모리 소비 문제로 인해 서비스가 거부될 수 있습니다. 이 업데이트에서는 libxml2 시스템 라이브러리를 버전 2.6.16으로 업데이트하여 문제를 해결합니다.
-
Safari
CVE-ID: CVE-2008-1767
사용 대상: iPhone v1.0에서 v1.1.4까지, iPod touch v1.1에서 v1.1.4까지
영향: XML 도큐멘트를 처리하면 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다.
설명: libxslt 라이브러리에 메모리 손상 문제가 있습니다. 악의적으로 제작된 HTML 페이지를 보는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다. 적용되는 패치에 대한 자세한 정보는 xmlsoft.org 웹 사이트 http://xmlsoft.org/XSLT/를 통해 볼 수 있습니다. 이 문제를 보고한 사람은 Outpost24 AB의 Anthony de Almeida Lopes와 Google 보안 팀의 Chris Evans입니다.
-
WebKit
CVE-ID: CVE-2008-1590
사용 대상: iPhone v1.0에서 v1.1.4까지, iPod touch v1.1에서 v1.1.4까지
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다.
설명: JavaScriptCore의 런타임 가비지 모음 처리에 메모리 손상 문제가 있습니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 가비지 모음 기능을 통해 이 문제를 해결합니다. 이 문제를 보고한 사람은 Radware의 Itzik Kotler와 Jonathan Rom입니다.
-
WebKit
CVE-ID: CVE-2008-1025
사용 대상: iPhone v1.0에서 v1.1.4까지, iPod touch v1.1에서 v1.1.4까지
영향: 악의적으로 제작된 URL에 액세스하는 경우 크로스 사이트 스크립팅이 발생할 수 있습니다.
설명: 호스트 이름에 콜론 문자를 포함하는 URL을 WebKi에서 처리하는 데 문제가 있습니다. 악의적으로 제작된 URL을 여는 경우 크로스 사이트 스크립팅 공격이 발생할 수 있습니다. 이 업데이트에서는 향상된 URL 처리 기능을 통해 문제를 해결합니다. 이 문제를 보고한 사람은 David Bloom과 Google 보안 팀의 Robert Swiecki입니다.
-
WebKit
CVE-ID: CVE-2008-1026
사용 대상: iPhone v1.0에서 v1.1.4까지, iPod touch v1.1에서 v1.1.4까지
영향: 악의적으로 제작된 웹 페이지를 보는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다.
설명: WebKit에서 JavaScript 정규식을 처리하는 데 힙 버퍼 오버플로가 있습니다. 반복 횟수가 많고 중첩되는 정규식을 처리할 때 JavaScript를 통해 문제가 발생할 수 있습니다. 이로 인해 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 JavaScript 정규식을 추가로 인증하여 문제를 해결합니다. 이 문제를 보고한 사람은 Independent Security Evaluators의 Charlie Miller입니다.
Important: Mention of third-party websites and products is for informational purposes only and constitutes neither an endorsement nor a recommendation. Apple assumes no responsibility with regard to the selection, performance or use of information or products found at third-party websites. Apple provides this only as a convenience to our users. Apple has not tested the information found on these sites and makes no representations regarding its accuracy or reliability. There are risks inherent in the use of any information or products found on the Internet, and Apple assumes no responsibility in this regard. Please understand that a third-party site is independent from Apple and that Apple has no control over the content on that website. Please contact the vendor for additional information.