보안 업데이트 2009-001의 보안 콘텐츠에 관하여

이 문서에서는 소프트웨어 업데이트 환경설정을 통해 또는 Apple 다운로드 사이트에서 다운로드하여 설치할 수 있는 보안 업데이트 2009-001에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.

보안 업데이트 2009-001

  • AFP Server

    CVE-ID: CVE-2009-0142

    대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: AFP Server에 연결할 수 있는 사용자는 서비스 거부를 트리거할 수 있음

    설명: AFP Server의 경합 상태는 무한 루프를 야기할 수 있습니다. AFP Server에서 파일을 열거하면 서비스 거부를 일으킬 수 있습니다. 이 업데이트에서는 향상된 파일 열거 논리를 통해 문제를 해결합니다. 이 문제는 Mac OS X v10.5.6를 실행하는 시스템에만 영향을 미칩니다.

  • Apple Pixlet Video

    CVE-ID: CVE-2009-0009

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 악의적으로 제작된 동영상 파일을 다운로드하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: Pixlet 코덱을 사용하여 동영상 파일을 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 동영상 파일을 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 범위 검사를 통해 문제를 해결합니다. 이 문제는 Apple에서 발견했습니다.

  • CarbonCore

    CVE-ID: CVE-2009-0020

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 악의적으로 제작된 리소스 포크가 있는 파일을 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 리소스 관리자에서 리소스 포크를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 리소스 포크가 있는 파일을 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 리소스 포크 유효성 확인을 통해 문제를 해결합니다. 이 문제는 Apple에서 발견했습니다.

  • CFNetwork

    대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 만료 시간이 null로 지정된 쿠키의 적절한 작동을 복원함

    설명: 이 업데이트에서는 Mac OS X 10.5.6에 도입된 비보안 회귀 현상을 해결합니다. 웹 사이트에서 '만료' 필드를 생략하는 대신 해당 필드에 null 값을 지정하여 세션 쿠키를 설정하려고 시도하는 경우 쿠키가 올바르게 설정되지 않을 수 있습니다. 이 업데이트에서는 null 값이 지정된 '만료' 필드를 무시하여 문제를 해결합니다.

  • CFNetwork

    대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 응용 프로그램 사이에서 세션 쿠키의 적절한 작동을 복원함

    설명: 이 업데이트에서는 Mac OS X 10.5.6에 도입된 비보안 회귀 현상을 해결합니다. CFNetwork는 열려 있는 여러 응용 프로그램에서 세션 쿠키를 설정하려 하는 경우 쿠키를 디스크에 저장하지 않을 수 있습니다. 이 업데이트에서는 각 응용 프로그램이 세션 쿠키를 개별적으로 저장하도록 하여 문제를 해결합니다.

  • Certificate Assistant

    CVE-ID: CVE-2009-0011

    대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 로컬 사용자가 인증서 지원을 실행하는 다른 사용자의 권한으로 파일을 조작할 수 있음

    설명: 인증서 지원에서 임시 파일을 처리할 때 보안이 취약한 파일 작업이 발생합니다. 이에 따라 로컬 사용자가 인증서 지원을 실행 중인 다른 사용자의 권한으로 파일을 덮어쓸 수 있습니다. 이 업데이트에서는 향상된 임시 파일 처리를 통해 문제를 해결합니다. 이 문제는 Mac OS X 10.5 이전 버전이 설치된 시스템에는 영향을 미치지 않습니다. 이 문제는 Apple에서 발견했습니다.

  • ClamAV

    CVE-ID: CVE-2008-5050, CVE-2008-5314

    대상: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    영향: ClamAV 0.94에서 여러 가지 취약점이 발생함

    설명: ClamAV 0.94에서 여러 가지 취약점이 발생하고 이 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 ClamAV를 버전 0.94.2로 업데이트하여 문제를 해결합니다. ClamAV는 Mac OS X Server 시스템을 통해서만 배포됩니다. 자세한 내용은 ClamAV 웹 사이트에서 확인할 수 있습니다. 웹 사이트: http://www.clamav.net/

  • CoreText

    CVE-ID: CVE-2009-0012

    대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 악의적으로 제작된 유니코드 콘텐츠를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 힙 버퍼 오버플로우는 CoreText에서 유니코드 문자열을 처리할 때 발생할 수 있습니다. 악의적으로 제작된 웹 페이지를 볼 때와 같이 CoreText를 사용하여 악의적으로 제작된 유니코드 문자열을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 범위 검사를 통해 문제를 해결합니다. 이 문제는 Mac OS X 10.5 이전 버전이 설치된 시스템에는 영향을 미치지 않습니다. 이 문제를 보고해 주신 Unsanity의 Rosyna 님께 감사드립니다.

  • CUPS

    CVE-ID: CVE-2008-5183

    대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료될 수 있음

    설명: 최대 RSS 구독 수를 초과하면 CUPS 웹 인터페이스에서 null 포인터 역참조가 발생합니다. 이 문제로 인해 악의적으로 제작된 웹 사이트를 방문할 때 응용 프로그램이 예기치 않게 종료될 수 있습니다. 이 문제를 트리거하기 위해 유효한 사용자 자격 증명이 공격자에게 알려지거나 사용자의 웹 브라우저에서 캐시되어야 합니다. CUPS는 이 문제가 트리거된 후 자동으로 재시작됩니다. 이 업데이트에서는 RSS 구독 수를 적절하게 처리하여 문제를 해결합니다. 이 문제는 Mac OS X 10.5 이전 버전이 설치된 시스템에는 영향을 미치지 않습니다.

  • DS Tools

    CVE-ID: CVE-2009-0013

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: dscl에 제공된 암호가 다른 로컬 사용자에게 노출됨

    설명: dscl 명령어 라인 도구에서는 암호가 인수에 전달되어야 하므로 잠재적으로 다른 로컬 사용자에게 암호가 노출됩니다. 노출된 암호에는 사용자와 관리자의 암호가 포함됩니다. 이 업데이트를 통해 암호 파라미터가 선택 사항으로 변경되어 필요한 경우 dscl에서 암호를 묻는 메시지를 표시합니다. 이 문제는 Apple에서 발견했습니다.

  • fetchmail

    CVE-ID: CVE-2007-4565, CVE-2008-2711

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: fetchmail 6.3.8에서 여러 가지 취약점이 발생함

    설명: fetchmail 6.3.8에서 여러 가지 취약점이 발생하고 이 중 가장 심각한 취약점으로 인해 서비스 거부가 발생할 수 있습니다. 이 업데이트에서는 fetchmail을 버전 6.3.9으로 업데이트하여 문제를 해결합니다. 자세한 정보는 웹 사이트에서 확인할 수 있습니다. 웹 사이트: http://fetchmail.berlios.de/

  • Folder Manager

    CVE-ID: CVE-2009-0014

    대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 다른 로컬 사용자가 다운로드 폴더에 접근할 수 있음

    설명: Folder Manager에 기본 권한 문제가 발생합니다. 사용자가 다운로드 폴더를 삭제하고 Folder Manager가 다운로드 폴더를 다시 만들면 해당 폴더는 모든 사용자에게 읽기 권한이 부여된 상태로 생성됩니다. 이 업데이트에서는 Folder Manager가 폴더에 대한 권한을 제한하여 해당 폴더에 사용자만 접근할 수 있도록 함으로써 문제를 해결합니다. 이 문제는 Folder Manager를 사용하는 응용 프로그램에만 영향을 미칩니다. 이 문제는 Mac OS X 10.5 이전 버전이 설치된 시스템에는 영향을 미치지 않습니다. 이 문제를 보고해 주신 University of Brighton, CENTRIM의 Graham Perrin 님께 감사드립니다.

  • FSEvents

    CVE-ID: CVE-2009-0015

    대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 로컬 사용자가 FSEvents 프레임워크를 사용함으로써 다른 방법으로는 사용할 수 없는 파일 시스템 활동을 확인할 수 있음

    설명: fseventsd에서 자격 증명 관리 문제가 발생합니다. 로컬 사용자는 FSEvents 프레임워크를 사용함으로써 다른 방법으로는 사용할 수 없는 파일 시스템 활동을 확인할 수 있습니다. 여기에는 사용자가 확인할 수 없는 디렉토리의 이름, 특정 시간의 디렉토리 활동 감지가 포함됩니다. 이 업데이트에서는 fseventsd의 향상된 자격 증명 유효성 확인을 통해 문제를 해결합니다. 이 문제는 Mac OS X 10.5 이전 버전이 설치된 시스템에는 영향을 미치지 않습니다. 이 문제를 보고해 주신 Mark Dalrymple 님께 감사드립니다.

  • Network Time

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 네트워크 시간 서비스 구성이 업데이트되었음

    설명: 사전 대응 보안 조치로서 이 업데이트에서는 네트워크 시간 서비스의 기본 구성을 변경합니다. 시스템 시간 및 버전 정보는 더 이상 기본 ntpd 구성에서 사용할 수 없습니다. Mac OS X v10.4.11 시스템에 새로운 구성을 적용하려면 네트워크 시간 서비스가 활성화된 후 시스템을 재시동해야 합니다.

  • perl

    CVE-ID: CVE-2008-1927

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: UTF-8 문자를 포함하는 정규 표현식을 사용하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 정규식에서 특정한 UTF-8 문자를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 정규식을 구문 분석하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 정규식의 유효성 확인을 추가적으로 수행하여 문제를 해결합니다.

  • Printing

    CVE-ID: CVE-2009-0017

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 로컬 사용자가 시스템 권한을 얻을 수 있음

    설명: csregprinter에서 오류 처리 문제가 발생하여 힙 버퍼 오버플로우가 발생할 수 있습니다. 이로 인해 로컬 사용자가 시스템 권한을 얻을 수 있습니다. 이 업데이트에서는 향상된 오류 처리를 통해 문제를 해결합니다. 이 문제를 보고해 주신 Lars Haulin 님께 감사드립니다.

  • python

    CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: python에서 여러 가지 취약점이 발생함

    설명: python에서 여러 가지 취약점이 발생하고 이 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 python 프로젝트의 패치를 적용하여 문제를 해결합니다.

  • Remote Apple Events

    CVE-ID: CVE-2009-0018

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 원격 Apple 이벤트를 전송하면 민감한 정보가 공개될 수 있음

    설명: 원격 Apple 이벤트 서버에 초기화되지 않은 문제가 발생하고 이로 인해 네트워크 클라이언트에 메모리 콘텐츠가 공개될 수 있습니다. 이 업데이트에서는 적절한 메모리 초기화를 통해 문제를 해결합니다. 이 문제는 Apple에서 발견했습니다.

  • Remote Apple Events

    CVE-ID: CVE-2009-0019

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 원격 Apple 이벤트를 활성화하면 응용 프로그램이 예기치 않게 종료되거나 민감한 정보가 공개될 수 있음

    설명: 원격 Apple 이벤트에 범위를 벗어난 메모리 접근 문제가 발생합니다. 원격 Apple 이벤트를 활성화하면 응용 프로그램이 예기치 않게 종료되거나 네트워크 클라이언트에 민감한 정보가 공개될 수 있습니다. 이 업데이트에서는 향상된 범위 검사를 통해 문제를 해결합니다. 이 문제는 Apple에서 발견했습니다.

  • Safari RSS

    CVE-ID: CVE-2009-0137

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 악의적으로 제작된 feed: URL에 접근하면 임의 코드가 실행될 수 있음

    설명: Safari의 feed: URL 처리에 여러 가지 입력 유효성 확인 문제가 발생합니다. 이 문제를 통해 로컬 보안 구역에서 임의 JavaScript가 실행될 수 있습니다. 이 업데이트에서는 feed: URL 내에 포함된 JavaScript 처리를 개선하여 문제를 해결합니다. 이 문제를 보고해 주신 Laconic Security의 Clint Ruoho, Microsoft의 Billy Rios, Brian Mastenbrook 님께 감사드립니다.

  • servermgrd

    CVE-ID: CVE-2009-0138

    대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 원격 공격자가 유효한 자격 증명 없이 Server Manager에 접근할 수 있음

    설명: Server Manager의 인증 자격 증명에 대한 유효성 확인에 발생한 문제로 인해 원격 공격자가 시스템 구성을 변경할 수 있습니다. 이 업데이트에서는 인증 자격 증명의 유효성을 추가로 확인하는 방식으로 문제를 해결합니다. 이 문제는 Mac OS X 10.5 이전 버전이 설치된 시스템에는 영향을 미치지 않습니다. 이 문제는 Apple에서 발견했습니다.

  • SMB

    CVE-ID: CVE-2009-0139

    대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 악의적으로 제작된 SMB 파일 시스템에 연결하면 시스템이 예기치 않게 종료되거나 시스템 권한을 사용하여 임의 코드가 실행될 수 있음

    설명: SMB 파일 시스템의 정수 오버플로우로 인해 힙 버퍼 오버플로우가 발생할 수 있습니다. 악의적으로 제작된 SMB 파일 시스템에 연결하면 시스템이 예기치 않게 종료되거나 시스템 권한을 사용하여 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 범위 검사를 통해 문제를 해결합니다. 이 문제는 Mac OS X 10.5 이전 버전이 설치된 시스템에는 영향을 미치지 않습니다. 이 문제는 Apple에서 발견했습니다.

  • SMB

    CVE-ID: CVE-2009-0140

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 악의적으로 제작된 SMB 파일 서버에 연결하면 예기치 않게 시스템이 종료될 수 있음

    설명: SMB 파일 시스템의 파일 시스템 이름 처리에 메모리 실행 문제가 발생합니다. 악의적으로 제작된 SMB 파일 서버에 연결하면 예기치 않게 시스템이 종료될 수 있습니다. 이 업데이트에서는 클라이언트가 파일 시스템 이름에 할당하는 메모리 양을 제한함으로써 문제를 해결합니다. 이 문제는 Apple에서 발견했습니다.

  • SquirrelMail

    CVE-ID: CVE-2008-2379, CVE-2008-3663

    대상: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    영향: SquirrelMail에서 여러 가지 취약점이 발생함

    설명: SquirrelMail이 여러 가지 취약점을 해결하도록 버전 1.4.17으로 업데이트되었습니다. 이 중 가장 심각한 취약점은 크로스 사이트 스크립팅 문제입니다. 자세한 내용은 SquirrelMail 웹 사이트에서 확인할 수 있습니다. 웹 사이트: http://www.SquirrelMail.org/

  • X11

    CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: X11 서버에서 여러 가지 취약점이 발생함

    설명: X11 서버에 여러 가지 취약점이 발생합니다. 이 중 가장 심각한 취약점으로 인해 공격자가 X11 서버에 인증할 수 있는 경우 X11 서버를 실행하는 사용자의 권한으로 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 업데이트된 X.Org 패치를 적용하여 문제를 해결합니다. 자세한 내용은 X.Org 웹 사이트에서 확인할 수 있습니다. 웹 사이트: http://www.x.org/wiki/Development/Security

  • X11

    CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    영향: FreeType v2.1.4에서 여러 가지 취약점이 발생함

    설명: FreeType v2.1.4에서 여러 가지 취약점이 발생하고 이 중 가장 심각한 취약점으로 인해 악의적으로 제작된 서체를 처리할 때 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 FreeType 2.3.6 버전의 보안 수정 사항을 통합하는 방식으로 문제를 해결합니다. 자세한 내용은 FreeType 사이트에서 확인할 수 있습니다. 웹 사이트: http://www.freetype.org/ 이 문제는 Mac OS X v10.5.6을 실행하는 시스템에서 이미 해결되었습니다.

  • X11

    CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    영향: LibX11에서 여러 가지 취약점이 발생함

    설명: LibX11에서 여러 가지 취약점이 발생하고 이 중 가장 심각한 취약점으로 인해 악의적으로 제작된 서체를 처리할 때 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 업데이트된 X.Org 패치를 적용하여 문제를 해결합니다. 자세한 내용은 X.Org 웹 사이트에서 확인할 수 있습니다. 웹 사이트: http://www.x.org/wiki/Development/Security 이 문제는 Mac OS X 10.5 및 이후 버전을 실행하는 시스템에는 영향을 미치지 않습니다.

  • XTerm

    CVE-ID: CVE-2009-0141

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 로컬 사용자가 다른 사용자의 Xterm에 직접 정보를 보낼 수 있음

    설명: Xterm에서 권한 문제가 발생합니다. luit와 함께 사용되는 경우 Xterm은 모두가 접근할 수 있는 tty 기기를 생성합니다. 이 업데이트에서는 Xterm이 권한을 제한하여 사용자만 tty 기기에 접근할 수 있도록 함으로써 문제를 해결합니다.

중요: 타사 웹 사이트 및 타사 제품에 대한 내용은 정보 확인 용도로만 제공되는 것으로 Apple이 해당 제품을 권장하거나 그 성능을 보증하는 것은 아닙니다. Apple은 타사 웹 사이트에 나와 있는 정보 또는 제품의 사용이나 선택, 성능과 관련하여 어떠한 책임도 지지 않습니다. 단지 사용자의 편의를 위해서만 이러한 정보를 제공합니다. Apple은 이러한 사이트에 나와 있는 정보를 확인하지 않았으며 해당 정보의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 인터넷상의 정보 또는 제품을 사용하는 데에는 위험이 따르며 Apple은 이와 관련하여 어떠한 책임도 지지 않습니다. 타사 사이트는 Apple과 관련이 없는 별개의 사이트이며 해당 웹 사이트에서 다루는 콘텐츠와 관련해 Apple은 아무런 권한도 행사할 수 없다는 점을 이해해 주시기 바랍니다. 자세한 내용은 협력업체에 문의하십시오.

게시일: