Safari 5.0.1 및 Safari 4.1.1
-
Safari
CVE-ID: CVE-2010-1778
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상
영향: 악의적으로 제작된 RSS 피드에 액세스하면 사용자 시스템의 파일이 원격 서버로 전송될 수 있습니다.
설명: Safari의 RSS 피드 처리 시 크로스 사이트 스크립팅 문제가 발생합니다. 악의적으로 제작된 RSS 피드에 액세스하면 사용자 시스템의 파일이 원격 서버로 전송될 수 있습니다. 이 문제는 향상된 RSS 피드 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Google 보안 팀의 Billy Rios입니다.
-
Safari
CVE-ID: CVE-2010-1796
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상
영향: Safari의 자동 완성 기능을 사용하면 사용자의 의사 확인 없이도 정보가 웹 사이트에 공개될 수 있습니다.
설명: Safari의 자동 완성 기능은 Mac OS X 주소록, Outlook 또는 Windows 주소록에서 지정한 정보를 사용하여 웹 양식을 자동으로 작성할 수 있습니다. 설계상의 특징에 따르면 웹 양식 내에서 자동 완성 기능이 작동되려면 사용자의 동작이 있어야 합니다. 악의적으로 제작된 웹 사이트에서 사용자의 의사에 대한 확인 없이 자동 완성 기능을 실행하도록 허용할 때 구현 문제가 발생합니다. 이렇게 되면 사용자의 주소록 카드에 담긴 정보가 공개될 수 있습니다. 이 문제가 발생하려면 다음 2가지 상황이 충족돼야 합니다. 우선, Safari 환경설정에서 자동 완성 기능 아래로 "주소록에서 정보를 사용하여 웹 양식을 자동 완성" 체크상자가 선택되어 있어야 합니다. 다음으로, 사용자의 주소록에 "나의 카드"로 지정된 카드가 있어야 합니다. 해당 특정 카드의 정보만 자동 완성 기능을 통해 액세스됩니다. 이 문제는 사용자의 동작 없이 자동 완성 기능에서 정보를 사용하는 것을 금지하면 해결됩니다. iOS를 실행하는 장비는 영향을 받지 않습니다. 이 문제를 보고한 사람은 WhiteHat Security의 Jeremiah Grossman입니다.
-
WebKit
CVE-ID: CVE-2010-1780
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.
설명: WebKit에서 요소가 집중되는 것을 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 요소 집중 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Google, Inc.의 Tony Chang입니다.
-
WebKit
CVE-ID: CVE-2010-1782
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.
설명: WebKit에서 인라인 요소를 렌더링할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 경계 검사를 통해 해결됩니다. 이 문제를 보고한 사람은 team509의 wushi입니다.
-
WebKit
CVE-ID: CVE-2010-1783
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.
설명: WebKit에서 텍스트 노드의 동적 변경을 처리하는 과정에서 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결됩니다.
-
WebKit
CVE-ID: CVE-2010-1784
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.
설명: WebKit에서 CSS 카운터를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결됩니다. 이 문제를 보고한 사람은 TippingPoint ZDI(Zero Day Initiative)에서 근무하는 team509의 wushi입니다.
-
WebKit
CVE-ID: CVE-2010-1785
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.
설명: WebKit에서 SVG 텍스트 요소의 :first-letter 및 :first-line 의사(pseudo) 요소를 처리할 때 메모리 액세스가 초기화되지 않는 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 SVG 텍스트 요소의 :first-letter 및 :first-line 의사(pseudo) 요소를 렌더링하면 해결됩니다. 이 문제를 보고한 사람은 TippingPoint ZDI(Zero Day Initiative)에서 근무하는 team509의 wushi입니다.
-
WebKit
CVE-ID: CVE-2010-1786
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.
설명: WebKit에서 SVG 도큐먼트의 foreignObject 요소를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 SVG 도큐먼트의 추가 인증을 통해 해결됩니다. 이 문제를 보고한 사람은 TippingPoint ZDI(Zero Day Initiative)에서 근무하는 team509의 wushi입니다.
-
WebKit
CVE-ID: CVE-2010-1787
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.
설명: WebKit에서 SVG 도큐먼트의 플로팅 요소를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결됩니다. 이 문제를 보고한 사람은 TippingPoint ZDI(Zero Day Initiative)에서 근무하는 team509의 wushi입니다.
-
WebKit
CVE-ID: CVE-2010-1788
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.
설명: WebKit에서 SVG 도큐먼트의 'use' 요소를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 SVG 도큐먼트의 'use' 요소에 대한 향상된 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Google, Inc.의 Justin Schuh입니다.
-
WebKit
CVE-ID: CVE-2010-1789
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.
설명: WebKit에서 JavaScript 문자열 객체를 처리할 때 힙 버퍼 오버플로우가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 경계 검사를 통해 해결됩니다. 이 문제를 보고한 사람은 Apple입니다.
-
WebKit
CVE-ID: CVE-2010-1790
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.
설명: WebKit에서 임시 컴파일 JavaScript 스터브를 처리할 때 재입력 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 동기화를 통해 해결됩니다.
-
WebKit
CVE-ID: CVE-2010-1791
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.
설명: WebKit에서 JavaScript 배열을 처리할 때 signedness 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 JavaScript 배열 인덱스 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Natalie Silvanovich입니다.
-
WebKit
CVE-ID: CVE-2010-1792
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.
설명: WebKit에서 정규 표현식을 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 정규 표현식 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Szeged 대학의 Peter Varga입니다.
-
WebKit
CVE-ID: CVE-2010-1793
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.
설명: WebKit에서 SVG 도큐먼트의 "font-face" 및 "use" 요소를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 SVG 도큐먼트의 "font-face" 및 "use" 요소에 대한 향상된 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 OUSPG의 Aki Helin입니다.