iPhone OS 2.2 및 iPod touch용 iPhone OS 2.2의 보안 컨텐츠 정보

iPhone OS 2.2 및 iPod touch용 iPhone OS 2.2

• CoreGraphics

  CVE-ID: CVE-2008-2321

  적용 대상: iPhone OS 1.0 ~ 2.1, iPod touch용 iPhone OS 1.1 ~ 2.1

  영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

  설명: CoreGraphics에서는 인수를 처리할 때 메모리 손상 문제가 발생합니다. 웹 브라우저와 같은 응용 프로그램을 통해 CoreGraphics에 신뢰할 수 없는 입력을 전달하면 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 경계 검사를 통해 이 문제를 해결합니다. 이 문제를 보고한 사람은 Google의 Michal Zalewski입니다.

• ImageIO

  CVE-ID: CVE-2008-2327

  적용 대상: iPhone OS 1.0 ~ 2.1, iPod touch용 iPhone OS 1.1 ~ 2.1

  영향: 악의적으로 제작된 TIFF 이미지를 보는 경우 응용 프로그램이 예기치 않게 중단되거나 임의의 코드가 실행될 수 있습니다.

  설명: libTIFF의 LZW 인코딩된 TIFF 이미지 처리에 여러 가지 초기화되지 않은 메모리 접근 문제가 존재합니다. 악의적으로 제작된 TIFF 이미지를 보는 경우 응용 프로그램이 예기치 않게 중단되거나 임의의 코드가 실행될 수 있습니다. 이 업데이트는 메모리를 올바르게 초기화하고 TIFF 이미지를 추가로 확인함으로써 문제를 해결합니다.

• ImageIO

  CVE-ID: CVE-2008-1586

  적용 대상: iPhone OS 1.0 ~ 2.1, iPod touch용 iPhone OS 1.1 ~ 2.1

  영향: 악의적으로 제작된 TIFF 이미지를 보면 장비가 예기치 않게 재설정될 수 있습니다.

  설명: TIFF 이미지를 다룰 때는 메모리 소모 문제가 발생합니다. 악의적으로 제작된 TIFF 이미지를 보면 장비가 예기치 않게 재설정될 수 있습니다. 이 업데이트는 TIFF 이미지를 여는 데 할당되는 메모리 크기를 제한하여 문제를 해결합니다. 이 문제를 보고한 사람은 n.runs AG의 Sergio 'shadown' Alvarez입니다.

• 네트워크

  CVE-ID: CVE-2008-4227

  적용 대상: iPhone OS 1.0 ~ 2.1, iPod touch용 iPhone OS 1.1 ~ 2.1

  영향: PPTP VPN 연결의 암호화 수준이 예상보다 낮을 수 있습니다.

  설명: PPTP VPN 연결의 암호화 수준이 이전에 구성된 낮은 설정으로 되돌아갈 수 있습니다. 이 업데이트는 암호화 환경설정을 올바르게 구성하여 문제를 해결합니다. 이 문제를 보고한 사람은 어바나-샴페인 일리노이 대학의 Stephen Butler입니다.

• Office Viewer

  CVE-ID: CVE-2008-4211

  적용 대상: iPhone OS 1.0 ~ 2.1, iPod touch용 iPhone OS 1.1 ~ 2.1

  영향: 악의적으로 제작된 Microsoft Excel 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의의 코드가 실행될 수 있습니다.

  설명: Office Viewer가 Microsoft Excel 파일의 열을 처리할 때 부호가 없어지는 문제로 인해 잘못된 메모리 접근 문제가 발생할 수 있습니다. 악의적으로 제작된 Microsoft Excel 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의의 코드가 실행될 수 있습니다. 이 업데이트는 영향 받는 인덱스 값이 음수가 되지 않도록 하여 문제를 해결합니다. 이 문제를 보고한 사람은 Apple입니다.

• 암호 잠금

  CVE-ID: CVE-2008-4228

  적용 대상: iPhone OS 1.0 ~ 2.1, iPod touch용 iPhone OS 1.1 ~ 2.1

  영향: 긴급통화가 긴급 전화 번호로 제한되지 않습니다.

  설명: iPhone은 잠겨 있을 때 긴급통화를 할 수 있는 기능을 제공합니다. 현재 긴급통화는 아무 번호로나 전화를 걸 수 있습니다. 이로 인해 iPhone을 습득한 사람이 이 기능을 이용하여 개인적인 통화를 하고 이 요금이 iPhone 소유자에게 부과될 수 있습니다. 이 업데이트는 긴급통화를 한정된 전화 번호로 제한하여 문제를 해결합니다.

• 암호 잠금

  CVE-ID: CVE-2008-4229

  적용 대상: iPhone OS 1.0 ~ 2.1, iPod touch용 iPhone OS 1.1 ~ 2.1

  영향: 백업에서 장비를 복원할 경우 암호 잠금을 다시 활성화하지 못할 수 있습니다.

  설명: 암호 잠금은 올바른 암호를 입력하지 않으면 응용 프로그램이 실행되지 않도록 하기 위한 기능입니다. 장비 설정을 처리하는 데 있어서의 경쟁 조건으로 인해 장비가 백업에서 복원되었을 때 암호 잠금이 제거될 수 있습니다. 이로 인해 장비를 습득한 사람이 암호 없이 응용 프로그램을 실행할 수 있습니다. 이 업데이트는 없는 환경설정을 인식하는 시스템의 기능을 개선하여 문제를 해결합니다. 이 문제는 iPhone OS 2.0 또는 iPod touch용 iPhone OS 2.0 이전 시스템에는 영향을 주지 않습니다. 이 문제를 보고한 사람은 Nolen Scaife입니다.

• 암호 잠금

  CVE-ID: CVE-2008-4230

  적용 대상: iPhone OS 1.0 ~ 2.1, iPod touch용 iPhone OS 1.1 ~ 2.1

  영향: 암호를 입력하기 전에 SMS(Short Message Service) 메시지가 표시될 수 있습니다.

  설명: 긴급통화 화면이 표시되어 있을 때 SMS 메시지가 도착하면 "SMS 미리보기" 환경설정이 "끔"으로 설정되어 있어도 전체 SMS 메시지가 표시됩니다. 이 업데이트는 이러한 경우 SMS 메시지가 도착했다는 알림만 표시하고 내용은 표시하지 않음으로 이 문제를 해결합니다.

• Safari

  CVE-ID: CVE-2008-4231

  적용 대상: iPhone OS 1.0 ~ 2.1, iPod touch용 iPhone OS 1.1 ~ 2.1

  영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

  설명: HTML 테이블 요소를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다. 이 업데이트는 HTML 테이블 요소를 처리하는 방식을 개선하여 문제를 해결합니다. 이 문제를 보고한 사람은 Fortinet, FortiGuard 글로벌 보안 리서치 팀의 Haifei Li입니다.

• Safari

  CVE-ID: CVE-2008-4232

  적용 대상: iPhone OS 1.0~2.1, iPod touch용 iPhone OS 1.1 ~ 2.1

  영향: iframe 요소가 포함된 웹 사이트는 사용자 인터페이스 스푸핑에 취약할 수 있습니다.

  설명: Safari에서 iframe 요소가 경계 밖으로 컨텐츠를 표시하여 사용자 인터페이스 스푸핑이 발생할 수 있습니다. 이 업데이트는 iframe 요소가 경계 밖으로 컨텐츠를 표시하지 못하도록 하여 문제를 해결합니다. 이 문제는 iPhone OS 2.0 또는 iPod touch용 iPhone OS 2.0 이전 시스템에는 영향을 주지 않습니다. 이 문제를 보고한 사람은 Mozilla Corporation의 John Resig입니다.

• Webkit

  CVE-ID: CVE-2008-3644

  적용 대상: iPhone OS 1.0 ~ 2.1, iPod touch용 iPhone OS 1.1 ~ 2.1

  영향: 잠겨 있지 않은 장비를 습득한 사람에게 중요한 정보가 노출될 수 있습니다.

  설명: 양식 필드에서 자동 완성을 비활성화하면 필드의 데이터가 브라우저 페이지 캐시에 저장될 수 있습니다. 이로 인해 잠겨 있지 않은 장비를 습득한 사람에게 중요한 정보가 노출될 수 있습니다. 이 업데이트는 양식 데이터를 적절하게 지움으로써 문제를 해결합니다. 이 문제를 보고한 사람은 익명의 연구원입니다.