보안 업데이트 2009-001의 보안 내용 정보

  • 최근 수정일: 13 3월, 2009
  • 문서: HT3438

요약

이 도큐멘트에서는 보안 업데이트 2009-001에 대해 설명합니다. 해당 보안 업데이트는 소프트웨어 업데이트 환경설정 또는 Apple 다운로드를 통해 다운로드 및 설치하실 수 있습니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 릴리즈가 준비될 때까지 보안 문제를 공개, 토론 또는 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 대한 자세한 내용은 "Apple 제품 보안 PGP 키 사용 방법"을 참조하십시오.

가능한 경우 CVE ID를 사용하여 취약점에 대한 추가 정보를 참조할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 "Apple 보안 업데이트"를 참조하십시오.

적용 제품

제품 보안, Mac OS X 10.5.6, Mac OS X 10.4.11

보안 업데이트 2009-001

  • AFP 서버

    CVE-ID: CVE-2009-0142

    사용 대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: AFP 서버에 접속하는 사용자가 서비스 거부를 트리거할 수 있습니다.

    설명: AFP 서버의 레이스 조건이 무한 루프를 발생시킬 수 있습니다. AFP 서버에 파일을 열거하면 서비스 거부가 발생할 수 있습니다. 이 업데이트는 향상된 파일 열거 로직을 통해 문제를 해결합니다. 이 문제는 Mac OS X v10.5.6을 실행하는 시스템에만 영향을 줍니다.

  • Apple Pixlet 비디오

    CVE-ID: CVE-2009-0009

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 악의적으로 제작된 파일을 열면 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: Pixlet 코덱을 사용하여 동영상 파일을 처리하는 동안 메모리 손상 문제가 발생합니다. 악의적으로 제작된 동영상 파일을 열면 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 경계 검사를 통해 이 문제를 해결합니다. 이 문제를 보고한 사람은 Apple입니다.

  • CarbonCore

    CVE-ID: CVE-2009-0020

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 악의적으로 제작된 리소스 포크를 포함한 파일을 열면 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: 리소스 관리자가 리소스 포크를 처리할 때 메모리 손상 문제가 발생합니다. 영향: 악의적으로 제작된 리소스 포크를 포함한 파일을 열면 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다. 이 업데이트는 리소스 포크의 유효화를 개선해 문제를 해결합니다. 이 문제를 보고한 사람은 Apple입니다.

  • CFNetwork

    사용 대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: null 만료 시기에 적절한 쿠키 작동을 복원합니다.

    설명: 이 업데이트는 Mac OS X 10.5.6에서 발견된 비보안 회귀를 해결합니다. 웹 사이트에서 "만료" 필드를 생략하지 않고 이 필에 null 값을 제공함으로써 세션 쿠키를 설정하려고 하면 쿠키가 제대로 설정되지 않을 수 있습니다. 이 업데이트는 null 값을 가진 "만료" 필드를 무시함으로써 문제를 해결합니다.

  • CFNetwork

    사용 대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 응용 프로그램 간 적절한 세션 쿠키 작동을 복원합니다.

    설명: 이 업데이트는 Mac OS X 10.5.6에서 발견된 비보안 회귀를 해결합니다. CFNetwork은 열려 있는 여러 응용 프로그램이 세션 쿠키를 설정하려고 하면 쿠키를 디스크에 저장하지 않습니다. 이 업데이트는 각 응용 프로그램이 세션 쿠키를 개별적으로 저장하도록 함으로써 문제를 해결합니다.

  • 인증 지원

    CVE-ID: CVE-2009-0011

    사용 대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 로컬 사용자가 인증 지원을 실행 중인 다른 사용자의 권한으로 파일을 조작할 수 있습니다.

    설명: 인증 지원이 임시 파일을 처리할 때 파일 작업이 안전하지 않을 수 있습니다. 이 경우 로컬 사용자가 인증 지원을 실행 중인 다른 사용자의 권한으로 파일을 덮어쓸 수 있습니다. 이 업데이트에서는 향상된 임시 파일 처리를 통해 이 문제를 해결합니다. 이 문제는 Mac OS X v10.5 이전 시스템에 영향을 주지 않습니다. 이 문제를 보고한 사람은 Apple입니다.

  • ClamAV

    CVE-ID: CVE-2008-5050, CVE-2008-5314

    사용 대상: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    영향: ClamAV 0.94에 여러 가지 취약점이 존재합니다.

    설명: ClamAV 0.94에 여러 가지 취약점이 존재하며 가장 심각한 취약점은 임의의 코드가 실행될 수 있다는 점입니다. 이 업데이트는 ClamAV를 0.94.2 버전으로 업데이트해 문제를 해결합니다. ClamAV는 Mac OS X Server 시스템에만 배포됩니다. 자세한 내용은 ClamAV 웹 사이트(http://www.clamav.net/)를 참조하십시오.

  • CoreText

    CVE-ID: CVE-2009-0012

    사용 대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 악의적으로 제작된 유니코드 컨텐츠를 보면 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: CoreText에서 유니코드 스트링을 처리할 때 힙 버퍼 오버플로우가 발생할 수 있습니다. 악의적으로 제작된 웹 페이지를 보는 등 CoreText를 사용하여 악의적으로 제작된 유니코드 스트링을 처리하면 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 경계 검사를 통해 이 문제를 해결합니다. 이 문제는 Mac OS X v10.5 이전 버전의 시스템에는 영향을 주지 않습니다. 이 문제를 보고해 주신 Unsanity의 Rosyna에게 감사드립니다.

  • CUPS

    CVE-ID: CVE-2008-5183

    사용 대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 중단될 수 있습니다.

    설명: 최대 RSS 구독 수를 초과하면 CUPS 웹 인터페이스에 null 포인터 디레퍼런스가 발생합니다. 이 경우 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 중단될 수 있습니다. 이 문제가 발생하려면 공격자가 유효한 사용자 증명서를 알고 있거나, 이 증명서가 사용자의 웹 브라우저에 캐시되어 있어야 합니다. CUPS는 이 문제가 발생하면 자동으로 다시 시작됩니다. 이 업데이트는 RSS 구독 수를 적절하게 처리해 문제를 해결합니다. 이 문제는 Mac OS X v10.5 이전 시스템에 영향을 주지 않습니다.

  • DS 도구

    CVE-ID: CVE-2009-0013

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: dscl에 제공한 암호가 다른 로컬 사용자에게 노출됩니다.

    설명: dscl 명령줄 도구는 해당 변수로 암호를 전달해야 하기 때문에 다른 로컬 사용자에게 암호가 노출될 수 있습니다. 사용자와 관리자 모두의 암호가 노출될 수 있습니다. 이 업데이트는 암호 매개변수를 선택 사항으로 만들고, 필요한 경우 dscl에서 암호 프롬프트를 표시합니다. 이 문제를 보고한 사람은 Apple입니다.

  • fetchmail

    CVE-ID: CVE-2007-4565, CVE-2008-2711

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: fetchmail 6.3.8의 여러 취약점

    설명: fetchmail 6.3.8의 여러 취약점 중 특히 심각한 것은 서비스 거부를 발생시킬 수 있습니다. 이 업데이트는 version 6.3.9로 업데이트하여 문제를 해결합니다. fetchmail 웹 사이트 http://fetchmail.berlios.de/에서 자세한 내용을 확인하십시오.

  • 폴더 관리자

    CVE-ID: CVE-2009-0014

    사용 대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 다른 로컬 사용자가 다운로드 폴더에 접근할 수 있습니다.

    설명: 폴더 매니저에 기본 권한 문제가 발생합니다. 사용자가 다운로드 폴더를 삭제하고 폴더 매니저가 이를 다시 만들 때 모든 사람에게 읽기 권한을 제공하면서 만들어집니다. 이 업데이트는 폴더 매니저가 사용자만 폴더에 접근할 수 있도록 권한을 제한하도록 함으로써 문제를 해결합니다. 이 문제는 폴더 관리자를 사용하는 응용 프로그램에만 영향을 줍니다. 이 문제는 Mac OS X v10.5 이전 버전의 시스템에는 영향을 주지 않습니다. 이 문제를 보고해 주신 University of Brighton 소속 CENTRIM의 Graham Perrin에게 감사 드립니다.

  • FSEvents

    CVE-ID: CVE-2009-0015

    사용 대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: FSEvents 프레임워크를 사용하는 로컬 사용자가 본래 확인할 수 없는 파일 시스템 동작을 볼 수 있습니다.

    설명: fseventsd에 증명서 관리 문제가 발생합니다. FSEvents 프레임워크를 사용하는 로컬 사용자가 본래 확인할 수 없는 파일 시스템 동작을 볼 수 있습니다. 여기에는 사용자가 본래 볼 수 없는 디렉토리 이름이 포함되고, 특정 시간에 이루어진 디렉토리의 작업을 검출할 수도 있습니다. 이 업데이트는 fseventsd의 증명서 유효화를 개선하여 문제를 해결합니다. 이 문제는 Mac OS X v10.5 이전 버전의 시스템에는 영향을 주지 않습니다. 이 문제를 보고해 주신 Mark Dalrymple에게 감사 드립니다.

  • 네트워크 시간

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 네트워크 시간 서비스 구성이 업데이트되었습니다.

    설명: 사전 보안 조치로 이 업데이트는 네트워크 시간 서비스의 기본 구성을 변경합니다. 시스템 시간 및 버전 정보를 기본 ntpd 구성에서 더 이상 사용할 수 없습니다. Mac OS X v10.4.11 시스템에서 네트워크 시간 서비스를 활성화하면 새 구성이 시스템을 다시 시작한 이후에 적용됩니다.

  • perl

    CVE-ID: CVE-2008-1927

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: UTF-8 문자를 포함한 정규 표현식을 사용하면 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: 정규 표현식의 특정 UTF-8 문자를 처리할 때 메모리 손상이 발생합니다. 악의적으로 제작된 정규 표현식을 분석하면 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 정규식을 추가로 인증하여 문제를 해결합니다.

  • 프린트

    CVE-ID: CVE-2009-0017

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 로컬 사용자가 시스템 권한을 얻을 수 있습니다.

    설명: csregprinter에서 오류 처리에 문제가 있어 힙 버퍼 오버플로우가 발생할 수 있습니다. 이 경우 로컬 사용자가 시스템 권한을 획득할 수도 있습니다. 이 업데이트에서는 향상된 오류 처리를 통해 이 문제를 해결합니다. 이 문제를 보고해 주신 Lars Haulin에게 감사 드립니다.

  • python

    CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: Python의 여러 취약점

    설명: Python의 여러 취약점 중 가장 심각한 것은 임의 코드를 실행시킬 수 있습니다. 이 업데이트는 Python 프로젝트 패치를 적용하여 문제를 해결합니다.

  • 원격 Apple 이벤트

    CVE-ID: CVE-2009-0018

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 원격 Apple 이벤트를 전송하면 중요한 정보가 공개될 수 있습니다.

    설명: 원격 Apple 이벤트 서버에 버퍼가 초기화되지 않는 문제가 있어 메모리 내용이 네트워크 클라이언트에게 공개될 수 있습니다. 이 업데이트는 적절한 메모리 초기화를 통해 문제를 해결합니다. 이 문제를 보고한 사람은 Apple입니다.

  • 원격 Apple 이벤트

    CVE-ID: CVE-2009-0019

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 원격 Apple 이벤트를 활성화하면 응용 프로그램이 예기치 않게 중단되거나 중요한 정보가 공개될 수 있습니다.

    설명: 원격 Apple 이벤트에서 외부 메모리 접근이 종료됩니다. 원격 Apple 이벤트를 활성화하면 응용 프로그램이 예기치 않게 중단되거나 중요한 정보가 네트워크 클라이언트에게 공개될 수 있습니다. 이 업데이트에서는 향상된 경계 검사를 통해 이 문제를 해결합니다. 이 문제를 보고한 사람은 Apple입니다.

  • Safari RSS

    CVE-ID: CVE-2009-0137

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 악의적으로 제작된 Feed URL에 접근하면 임의 코드가 실행될 수 있습니다.

    설명: Safari에서 Feed URL을 처리하는 데 여러 입력 유효화 문제가 있습니다. 이 문제로 인해 로컬 보안 영역에서 임의 JavaScript가 실행될 수 있습니다. 이 업데이트는 Feed URL에 내장된 JavaScript의 처리를 개선해 문제를 해결합니다. 이 문제를 보고해 주신 Laconic Security의 Clint Ruoho, Microsoft의 Billy Rios 그리고 Brian Mastenbrook에게 감사드립니다.

  • servermgrd

    CVE-ID: CVE-2009-0138

    사용 대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 원격 공격자가 유효한 증명서 없이도 서버 관리자에 접근할 수 있습니다.

    설명: Server Manager의 인증 증명서 유효화 문제로 인해 원격 공격자가 시스템 구성을 변경할 수 있습니다. 이 업데이트는 인증 증명서 유효화를 추가해 문제를 해결합니다. 이 문제는 Mac OS X v10.5 이전 시스템에 영향을 주지 않습니다. 이 문제를 보고한 사람은 Apple입니다.

  • SMB

    CVE-ID: CVE-2009-0139

    사용 대상: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 악의적으로 제작된 SMB 파일 시스템에 접속하면 시스템이 예기치 않게 종료되거나 시스템 권한으로 임의 코드가 실행될 수 있습니다.

    설명: SMB 파일 시스템에서 정수 오버플로우가 발생해 힙 버퍼 오버플로우를 일으킬 수 있습니다. 악의적으로 제작된 SMB 파일 시스템에 접속하면 시스템이 예기치 않게 종료되거나 시스템 권한으로 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 경계 검사를 통해 이 문제를 해결합니다. 이 문제는 Mac OS X v10.5 이전 시스템에 영향을 주지 않습니다. 이 문제를 보고한 사람은 Apple입니다.

  • SMB

    CVE-ID: CVE-2009-0140

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 악의적으로 제작된 SMB 파일 서버에 접속하면 시스템이 예기치 않게 종료될 수 있습니다.

    설명: SMB 파일 시스템에서 파일 시스템 이름을 처리할 때 메모리 소모 문제가 발생합니다. 악의적으로 제작된 SMB 파일 서버에 접속하면 시스템이 예기치 않게 종료될 수 있습니다. 이 업데이트는 클라이언트가 파일 시스템 이름에 할당하는 메모리 양을 제한하여 문제를 해결합니다. 이 문제를 보고한 사람은 Apple입니다.

  • SquirrelMail

    CVE-ID: CVE-2008-2379, CVE-2008-3663

    사용 대상: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    영향: SquirrelMail의 여러 취약점

    설명: 여러 취약점을 해결하기 위해 SquirrelMail이 버전 1.4.17으로 업데이트되었습니다. 이 중에 가장 심각한 취약점으로 인해 크로스 사이트 스크립팅이 발생할 수 있습니다. 자세한 정보는 SquirrelMail 웹 사이트 http://www.SquirrelMail.org/에서 참조하십시오.

  • X11

    CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: X11 서버의 여러 취약점

    설명: X11 서버에 여러 취약점이 있습니다. 가장 심각한 취약점으로 인해 공격자가 X11 서버에 대해 인증할 수 있는 경우 X11 서버를 실행하는 사용자의 권한으로 임의 코드를 실행할 수 있습니다. 이 업데이트는 업데이트된 X.Org 패치를 적용해 문제를 해결합니다. 자세한 내용은 http://www.x.org/wiki/Development/Security의 X.Org 웹 사이트를 통해 볼 수 있습니다.

  • X11

    CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    영향: FreeType v2.1.4에 여러 가지 취약점이 존재합니다.

    설명: FreeType v2.1.4의 여러 취약점 중 가장 심각한 취약점으로 인해 악의적으로 제작된 서체를 처리할 때 임의 코드가 실행될 수 있습니다. 이 업데이트는 FreeType 2.3.6의 보안 수정 사항을 통합해 문제를 해결합니다. 자세한 정보는 FreeType 사이트 http://www.freetype.org/에서 참조하십시오. Mac OS X v10.5.6을 실행하는 시스템에서는 이 문제가 이미 해결되었습니다.

  • X11

    CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    영향: LibX11의 여러 취약점

    설명: LibX11의 여러 취약점 중 가장 심각한 취약점으로 인해 악의적으로 제작된 서체를 처리할 때 임의 코드가 실행될 수 있습니다. 이 업데이트는 업데이트된 X.Org 패치를 적용해 문제를 해결합니다. 자세한 정보는 X.Org 웹 사이트 http://www.x.org/wiki/Development/Security에서 참조하십시오. 이 문제는 Mac OS X v10.5 이상을 실행 중인 시스템에는 영향을 주지 않습니다.

  • XTerm

    CVE-ID: CVE-2009-0141

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    영향: 로컬 사용자가 다른 사용자의 Xterm으로 정보를 직접 전송할 수 있습니다.

    설명: Xterm에 권한 문제가 있습니다. luit와 함께 사용할 때 Xterm에서 모든 사람이 접근할 수 있는 tty 장비를 만듭니다. 이 업데이트는 Xterm에서 tty 장비에 해당 사용자만 접근할 수 있게 권한을 제한하도록 함으로써 문제를 해결합니다.

Important: Mention of third-party websites and products is for informational purposes only and constitutes neither an endorsement nor a recommendation. Apple assumes no responsibility with regard to the selection, performance or use of information or products found at third-party websites. Apple provides this only as a convenience to our users. Apple has not tested the information found on these sites and makes no representations regarding its accuracy or reliability. There are risks inherent in the use of any information or products found on the Internet, and Apple assumes no responsibility in this regard. Please understand that a third-party site is independent from Apple and that Apple has no control over the content on that website. Please contact the vendor for additional information.