Safari 4.0.5의 보안 콘텐츠에 관하여

이 문서에서는 Safari 4.0.5의 보안 콘텐츠에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.

Safari 4.0.5

• ColorSync

  CVE-ID: CVE-2010-0040

  대상: Windows 7, Vista, XP

  영향: 내장된 색상 프로파일을 사용하여 악의적으로 제작된 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: 내장된 색상 프로파일을 사용하여 이미지를 처리할 때 힙 버퍼 오버플로우를 야기할 수 있는 정수 오버플로우가 발생합니다. 내장된 색상 프로파일을 사용하여 악의적으로 제작된 이미지를 여는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 색상 프로파일에 대한 추가 유효성 확인을 수행하여 해결되었습니다. 이 문제는 Mac OS X 시스템에 영향을 주지 않습니다. 이 문제를 보고해 주신 VUPEN Vulnerability Research Team의 Sebastien Renaud 님께 감사드립니다.

• ImageIO

  CVE-ID: CVE-2009-2285

  대상: Windows 7, Vista, XP

  영향: 악의적으로 제작된 TIFF 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: ImageIO에서 TIFF 이미지를 처리할 때 버퍼 언더플로우가 발생합니다. 악의적으로 제작된 TIFF 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다. Mac OS X v10.6 시스템의 경우 이 문제는 Mac OS X v10.6.2에서 해결되었습니다. Mac OS X v10.5 시스템의 경우 이 문제는 보안 업데이트 2010-001에서 해결되었습니다.

• ImageIO

  CVE-ID: CVE-2010-0041

  대상: Windows 7, Vista, XP

  영향: 악의적으로 제작된 웹 사이트를 방문하면 데이터가 Safari의 메모리에서 웹 사이트로 전송될 수 있음

  설명: ImageIO에서 BMP 이미지를 처리할 때 초기화되지 않은 메모리 접근 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 데이터가 Safari의 메모리에서 웹 사이트로 전송될 수 있습니다. 이 문제는 향상된 메모리 처리 및 BMP 이미지에 대한 추가 유효성 확인을 통해 해결되었습니다. 이 문제를 보고해 주신 Hispasec의 Matthew 'j00ru' Jurczyk 님께 감사드립니다.

• ImageIO

  CVE-ID: CVE-2010-0042

  대상: Windows 7, Vista, XP

  영향: 악의적으로 제작된 웹 사이트를 방문하면 데이터가 Safari의 메모리에서 웹 사이트로 전송될 수 있음

  설명: ImageIO에서 TIFF 이미지를 처리할 때 초기화되지 않은 메모리 접근 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 데이터가 Safari의 메모리에서 웹 사이트로 전송될 수 있습니다. 이 문제는 향상된 메모리 처리 및 TIFF 이미지에 대한 추가 유효성 확인을 통해 해결되었습니다. 이 문제를 보고해 주신 Hispasec의 Matthew 'j00ru' Jurczyk 님께 감사드립니다.

• ImageIO

  CVE-ID: CVE-2010-0043

  대상: Windows 7, Vista, XP

  영향: 악의적으로 제작된 TIFF 이미지를 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: TIFF 이미지를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 TIFF 이미지를 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다. 이 문제를 보고해 주신 Flying Meat의 Gus Mueller 님께 감사드립니다.

• PubSub

  CVE-ID: CVE-2010-0044

  대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.1 및 이후 버전, Mac OS X Server 10.6.1 및 이후 버전, Windows 7, Vista, XP

  영향: Safari가 쿠키를 차단하도록 구성된 경우에도 피드를 방문하거나 업데이트하면 쿠키가 설정될 수 있음

  설명: RSS 및 Atom 피드에서 설정한 쿠키를 처리할 때 구현 문제가 발생합니다. '쿠키 허용' 환경설정을 통해 Safari가 쿠키를 차단하도록 구성된 경우에도 피드를 방문하거나 업데이트하면 쿠키가 설정될 수 있습니다. 이 업데이트에서는 피드를 업데이트하거나 보는 동안 환경설정을 준수하여 문제를 해결합니다.

• Safari

  CVE-ID: CVE-2010-0045

  대상: Windows 7, Vista, XP

  영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 임의 코드가 실행될 수 있음

  설명: Safari에서 외부 URL 체계를 처리할 때 문제가 발생하여 웹 페이지에서 발견되는 URL에 대한 응답으로 로컬 파일이 열릴 수 있습니다. 악의적으로 제작된 웹 사이트를 방문하면 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 외부 URL 유효성 확인을 통해 문제를 해결합니다. 이 문제는 Mac OS X 시스템에 영향을 주지 않습니다. 이 문제를 보고해 주신 Billy Rios 님과 Microsoft Vulnerability Research (MSVR)에 감사드립니다.

• WebKit

  CVE-ID: CVE-2010-0046

  대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.1 및 이후 버전, Mac OS X Server 10.6.1 및 이후 버전, Windows 7, Vista, XP

  영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 CSS 형식() 인수를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 CSS 형식() 인수 처리를 통해 해결되었습니다. 이 문제를 보고해 주신 Google Inc.의 Robert Swiecki 님께 감사드립니다.

• WebKit

  CVE-ID: CVE-2010-0047

  대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.1 및 이후 버전, Mac OS X Server 10.6.1 및 이후 버전, Windows 7, Vista, XP

  영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: HTML 오브젝트 요소 폴백 콘텐츠를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 참조 추적을 통해 해결되었습니다. 이 문제를 보고해 주신 TippingPoint의 Zero Day Initiative에 참여 중인 team509의 wushi 님께 감사드립니다.

• WebKit

  CVE-ID: CVE-2010-0048

  대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.1 및 이후 버전, Mac OS X Server 10.6.1 및 이후 버전, Windows 7, Vista, XP

  영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 XML 문서를 구문 분석할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 참조 추적을 통해 해결되었습니다. 이 문제를 보고해 주신 TippingPoint의 Zero Day Initiative에 참여 중인 team509의 wushi 님께 감사드립니다.

• Webkit

  CVE-ID: CVE-2010-0049

  대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.1 및 이후 버전, Mac OS X Server 10.6.1 및 이후 버전, Windows 7, Vista, XP

  영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: 오른쪽에서 왼쪽으로 표시되는 텍스트가 포함된 HTML 요소를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 참조 추적을 통해 해결되었습니다. 이 문제를 보고해 주신 TippingPoint의 Zero Day Initiative에 참여 중인 team509의 wushi 님께 감사드립니다.

• WebKit

  CVE-ID: CVE-2010-0050

  대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.1 및 이후 버전, Mac OS X Server 10.6.1 및 이후 버전, Windows 7, Vista, XP

  영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 잘못 중첩된 HTML 태그를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 참조 추적을 통해 해결되었습니다. 이 문제를 보고해 주신 TippingPoint의 Zero Day Initiative에 참여 중인 team509의 wushi 님께 감사드립니다.

• WebKit

  CVE-ID: CVE-2010-0051

  대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.1 및 이후 버전, Mac OS X Server 10.6.1 및 이후 버전, Windows 7, Vista, XP

  영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 민감한 정보가 공개될 수 있음

  설명: WebKit에서 출처 간 스타일시트 요청을 처리할 때 구현 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 다른 웹 사이트의 보호되는 콘텐츠가 공개될 수 있습니다. 이 업데이트에서는 출처 간 요청 중에 로드되는 스타일시트에 대한 추가 유효성 확인을 수행하여 문제를 해결합니다.

• WebKit

  CVE-ID: CVE-2010-0052

  대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.1 및 이후 버전, Mac OS X Server 10.6.1 및 이후 버전, Windows 7, Vista, XP

  영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 HTML 요소에 대한 콜백을 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 참조 추적을 통해 해결되었습니다. 이 문제는 Apple에서 발견했습니다.

• WebKit

  CVE-ID: CVE-2010-0053

  대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.1 및 이후 버전, Mac OS X Server 10.6.1 및 이후 버전, Windows 7, Vista, XP

  영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: CSS 표시 속성이 'run-in'으로 설정된 콘텐츠를 렌더링할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 참조 추적을 통해 해결되었습니다. 이 문제를 보고해 주신 TippingPoint의 Zero Day Initiative에 참여 중인 team509의 wushi 님께 감사드립니다.

• WebKit

  CVE-ID: CVE-2010-0054

  대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.1 및 이후 버전, Mac OS X Server 10.6.1 및 이후 버전, Windows 7, Vista, XP

  영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 HTML 이미지 요소를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 참조 추적을 통해 해결되었습니다. 이 문제는 Apple에서 발견했습니다.