OS X Mountain Lion v10.8.4 및 보안 업데이트 2013-002의 보안 콘텐츠에 관하여

이 문서에서는 소프트웨어 업데이트 환경설정을 통해 또는 Apple 다운로드 사이트에서 다운로드하여 설치할 수 있는 OS X Mountain Lion v10.8.4 및 보안 업데이트 2013-002의 보안 콘텐츠에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.

OS X Mountain Lion v10.8.4 및 보안 업데이트 2013-002

참고: OS X Mountain Lion v10.8.4에는 Safari 6.0.5 콘텐츠가 제공되어 있습니다. 자세한 내용은 Safari 6.0.5의 보안 콘텐츠에 관하여를 참조하십시오.

  • CFNetwork

    대상: OS X Mountain Lion v10.8~v10.8.3

    영향: 개인정보 보호 브라우징을 사용한 경우에도 사용자의 세션에 접근할 수 있는 공격자가 이전에 방문한 사이트에 로그인할 수 있음

    설명: 개인정보 보호 브라우징을 활성화한 경우에도 Safari가 종료된 후 영구적인 쿠키가 저장되었으나 이 문제는 향상된 쿠키 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-0982: www.traud.de의 Alexander Traud

  • CoreAnimation

    대상: OS X Mountain Lion v10.8~v10.8.3

    영향: 악의적으로 제작된 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 텍스트 글리프를 처리할 때 무제한 스택 할당 문제가 발생했습니다. 이는 Safari에서 악의적으로 제작된 URL로 인해 발생했을 수 있습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-0983: Stanford University의 David Fifield, Ben Syverson

  • CoreMedia Playback

    대상: OS X Lion v10.7~v10.7.5, OS X Lion Server v10.7~v10.7.5, OS X Mountain Lion v10.8~v10.8.3

    영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 텍스트 트랙을 처리할 때 초기화되지 않은 메모리 접근 문제가 발생했으나 이 문제는 텍스트 트랙의 추가 유효성 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2013-1024: Triemt Corporation의 Richard Kuo 및 Billy Suguitan

  • CUPS

    대상: OS X Mountain Lion v10.8~v10.8.3

    영향: lpadmin 그룹에 있는 로컬 사용자가 시스템 권한을 사용하여 임의 파일을 읽거나 쓸 수 있음

    설명: CUPS 웹 인터페이스를 통해 CUPS 구성을 처리할 때 권한 에스컬레이션 문제가 발생했습니다. lpadmin 그룹에 있는 로컬 사용자가 시스템 권한을 사용하여 임의 파일을 읽거나 쓸 수 있었으나 이 문제는 특정 구성 지시를 CUPS 웹 인터페이스에서 수정할 수 없는 cups-files.conf로 이동하여 해결되었습니다

    CVE-ID

    CVE-2012-5519

  • Directory Service

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    영향: Directory Service가 활성화된 시스템에서 원격 공격자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 디렉토리 서버에서 네트워크의 메시지를 처리할 때 문제가 발생했습니다. 악의적으로 제작된 메시지를 전송하여 원격 공격자가 디렉토리 서버를 종료하거나 시스템 권한으로 임의 코드를 실행할 수 있었으나 이 문제는 향상된 범위 검사를 통해 해결되었습니다. 이 문제는 OS X Lion 또는 OS X Mountain Lion 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2013-0984: Core Security의 Nicolas Economou

  • Disk Management

    대상: OS X Mountain Lion v10.8~v10.8.3

    영향: 로컬 사용자가 FileVault를 비활성화할 수 있음

    설명: 관리자가 아닌 로컬 사용자가 명령어 라인을 사용하여 FileVault를 비활성화할 수 있었으나 이 문제는 추가 인증을 추가하여 해결되었습니다.

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7~v10.7.5, OS X Lion Server v10.7~v10.7.5, OS X Mountain Lion v10.8~v10.8.3

    영향: 공격자가 SSL로 보호되는 데이터의 암호화를 해제할 수 있음

    설명: 압축이 활성화된 상태일 때 TLS 1.0의 기밀성에 대한 알려진 공격이 있었습니다. 이 문제는 OpenSSL에서 압축을 비활성화하여 해결되었습니다.

    CVE-ID

    CVE-2012-4929: Juliano Rizzo 및 Thai Duong

  • OpenSSL

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7~v10.7.5, OS X Lion Server v10.7~v10.7.5, OS X Mountain Lion v10.8~v10.8.3

    영향: OpenSSL에 여러 가지 취약점이 존재함

    설명: 서비스 거부 또는 개인 키 노출을 야기할 수 있는 여러 가지 취약점을 해결할 수 있도록 OpenSSL이 0.9.8x 버전으로 업데이트되었습니다. 자세한 정보는 OpenSSL 웹 사이트에서 확인할 수 있습니다. http://www.openssl.org/news/

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    대상: OS X Lion v10.7~v10.7.5, OS X Lion Server v10.7~v10.7.5, OS X Mountain Lion v10.8~v10.8.2

    영향: 악의적으로 제작된 PICT 이미지를 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: PICT 이미지를 처리할 때 버퍼 오버플로우가 발생했으나 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-0975: HP의 Zero Day Initiative에 참여 중인 Tobias Klein

  • QuickTime

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7~v10.7.5, OS X Lion Server v10.7~v10.7.5, OS X Mountain Lion v10.8~v10.8.3

    영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 'enof' 요소를 처리할 때 버퍼 오버플로우가 발생했으나 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-0986: HP의 Zero Day Initiative에 참여 중인 Tom Gallagher(Microsoft) 및 Paul Bates(Microsoft)

  • QuickTime

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7~v10.7.5, OS X Lion Server v10.7~v10.7.5, OS X Mountain Lion v10.8~v10.8.3

    영향: 악의적으로 제작된 QTIF 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QTIF 파일을 처리할 때 메모리 손상 문제가 발생했으나 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-0987: iDefense VCP에 참여 중인 roob

  • QuickTime

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7~v10.7.5, OS X Lion Server v10.7~v10.7.5, OS X Mountain Lion v10.8~v10.8.3

    영향: 악의적으로 제작된 FPX 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: FPX 파일을 처리할 때 버퍼 오버플로우가 발생했으나 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-0988: HP의 Zero Day Initiative에 참여 중인 G. Geshev

  • QuickTime

    대상: OS X Mountain Lion v10.8~v10.8.3

    영향: 악의적으로 제작된 MP3 파일을 재생하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: MP3 파일을 처리할 때 버퍼 오버플로우가 발생했으나 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-0989: HP의 Zero Day Initiative에 참여 중인 G. Geshev

  • Ruby

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    영향: Ruby on Rails에 여러 가지 취약점이 존재함

    설명: Ruby on Rails에 여러 가지 취약점이 있으며, 이 중 가장 심각한 취약점으로 인해 Ruby on Rails 응용 프로그램을 실행 중인 시스템에서 임의 코드를 실행할 수 있었으나 이러한 문제는 Ruby on Rails를 2.3.18 버전으로 업데이트하여 해결되었습니다. 이 문제는 Mac OS X 10.6.8 및 이전 버전에서 업그레이드된 OS X Lion 또는 OS X Mountain Lion 시스템에 영향을 줄 수 있습니다. 사용자는 /usr/bin/gem 유틸리티를 사용하여 해당 시스템에서 영향을 받는 Gem을 업데이트할 수 있습니다.

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    대상: OS X Lion v10.7~v10.7.5, OS X Lion Server v10.7~v10.7.5, OS X Mountain Lion v10.8~v10.8.3

    영향: 인증된 사용자가 공유된 디렉토리 밖에서 파일을 쓸 수 있음

    설명: SMB 파일 공유가 활성화된 경우 인증된 사용자는 공유된 디렉토리 밖에서 파일을 쓸 수 있었으나 이 문제는 향상된 접근 제어를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-0990 : Ward van Wanrooij

  • 참고: OS X v10.8.4 버전부터 인터넷에서 다운로드한 Java Web Start(예: JNLP) 응용 프로그램은 개발자 ID 인증서로 서명되어야 합니다. Gatekeeper는 다운로드한 Java Web Start 응용 프로그램의 서명을 확인하고 제대로 서명되지 않은 경우에는 응용 프로그램이 실행되지 않도록 차단합니다.

    JNLP 파일에는 codesign 유틸리티를 사용하여 서명할 수 있으며, 해당 코드 서명은 JNLP 파일에 확장 속성으로 첨부됩니다. 이러한 속성을 보존하려면 JNLP 파일을 ZIP, XIP 또는 DMG 파일로 압축합니다. 일부 타사 도구에서는 필요한 확장 속성이 제대로 캡처되지 않는 경우가 발생할 수 있으므로 ZIP 포맷을 사용할 때는 주의해야 합니다.

    자세한 내용은 Technical Note TN2206: OS X Code Signing In Depth(기술 노트 TN2206: OS X 코드 서명 세부 정보)에서 확인하십시오.

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능 및 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 자세한 내용은 해당 업체에 문의하시기 바랍니다.

게시일: