iOS 7의 보안 콘텐츠에 관하여
이 문서에서는 iOS 7의 보안 콘텐츠에 대해 설명합니다.
Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.
Apple 제품 보안 PGP 키에 대한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.
가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.
다른 보안 업데이트에 대한 자세한 내용은 Apple 보안 업데이트를 참조하십시오.
iOS 7
Certificate Trust Policy
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 이후 모델
영향: 루트 인증서가 업데이트되었음
설명: 여러 인증서가 시스템 루트 목록에서 추가되거나 제거되었습니다.
CoreGraphics
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 PDF 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의의 코드가 실행될 수 있음
설명: PDF 파일에서 JBIG2로 인코딩된 데이터를 처리할 때 버퍼 오버플로우가 발생했습니다. 이 문제는 추가 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2013-1025: Google Security Team의 Felix Groebert
CoreMedia
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 동영상 파일을 재생하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: Sorenson으로 인코딩된 동영상 파일을 처리할 때 버퍼 오버플로우가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2013-1019: HP의 Zero Day Initiative에 참여 중인 Tom Gallagher(Microsoft) 및 Paul Bates(Microsoft)
Data Protection
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 앱이 암호 시도 제한을 무시할 수 있음
설명: Data Protection에 권한 분리 문제가 발생했습니다. 타사 샌드 박스 내의 앱이 사용자의 '데이터 지우기' 설정과 관계없이 사용자의 암호를 반복적으로 확인하려고 시도할 수 있었습니다. 이 문제는 추가적인 자격 권한 확인을 요구하여 해결되었습니다.
CVE-ID
CVE-2013-0957: 싱가포르 경영대학교의 Qiang Yan 및 Su Mon Kywe와 협력하는 Institute for Infocomm Research의 Jin Han
Data Security
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 네트워크에서 권한 있는 위치에 있는 공격자가 사용자 자격 증명 또는 기타 민감한 정보를 가로챌 수 있음
설명: 신뢰할 수 있는 루트 CA인 TrustWave가 신뢰하는 앵커 중 하나에서 하위 CA 인증서를 발급하고 이후 취소했습니다. 이 하위 CA가 TLS(Transport Layer Security)로 보호되는 통신 가로채기를 쉽게 했습니다. 이 업데이트는 OS X의 신뢰할 수 없는 인증서 목록에 관련된 하위 CA 인증서를 추가했습니다.
CVE-ID
CVE-2013-5134
dyld
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 기기에서 임의 코드를 실행하는 공격자가 재시동 시에도 코드를 계속 실행할 수 있음
설명: dyld의 openSharedCacheFile() 함수에 여러 버퍼 오버플로우가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2013-3950: Stefan Esser
File Systems
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: HFS가 아닌 파일 시스템을 마운트할 수 있는 공격자가 커널 권한으로 예기치 않은 시스템 종료를 일으키거나 임의 코드를 실행할 수 있음
설명: AppleDouble 파일을 처리할 때 메모리 손상 문제가 발생했습니다. 이 문제는 AppleDouble 파일에 대한 지원을 제거하여 해결되었습니다.
CVE-ID
CVE-2013-3955: Stefan Esser
ImageIO
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 PDF 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: PDF 파일에서 JPEG2000으로 인코딩된 데이터를 처리할 때 버퍼 오버플로우가 발생했습니다. 이 문제는 추가 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2013-1026: Google Security Team의 Felix Groebert
IOKit
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 백그라운드 응용 프로그램이 사용자 인터페이스 이벤트를 전면에서 실행되는 앱에 삽입할 수 있음
설명: 백그라운드 응용 프로그램이 작업을 완료하거나 VoIP API를 사용하여 사용자 인터페이스 이벤트를 전면에서 실행되는 응용 프로그램에 삽입할 수 있었습니다. 이 문제는 인터페이스 이벤트를 처리하는 전면 및 백그라운드 프로세스에 대한 접근 제어를 시행하여 해결되었습니다.
CVE-ID
CVE-2013-5137: Mobile Labs의 Mackenzie Straight
IOKitUser
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 로컬 응용 프로그램이 예기치 않은 시스템 종료를 일으킬 수 있음
설명: IOCatalogue에 널 포인터 역참조가 발생했습니다. 이 문제는 추가 형식 검사를 통해 해결되었습니다.
CVE-ID
CVE-2013-5138: Will Estes
IOSerialFamily
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 응용 프로그램을 실행하면 커널 내에서 임의 코드가 실행될 수 있음
설명: IOSerialFamily 드라이버에 범위를 벗어난 배열 접근이 발생했습니다. 이 문제는 추가 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2013-5139: @dent1zt
IPSec
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 공격자가 IPSec Hybrid Auth로 보호된 데이터를 가로챌 수 있음
설명: IPSec Hybrid Auth 서버의 DNS 이름이 인증서와 일치하지 않아 공격자가 어떤 서버의 인증서로도 다른 서버를 가장할 수 있었습니다. 이 문제는 향상된 인증서 확인으로 해결되었습니다.
CVE-ID
CVE-2013-1028: www.traud.de의 Alexander Traud
Kernel
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 원격 공격자가 예기치 않게 기기를 재시동할 수 있음
설명: 잘못된 패킷 조각을 기기에 보내면 커널 어설션이 실행되어 기기가 재시동될 수 있습니다. 이 문제는 패킷 조각의 추가 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2013-5140: Codenomicon의 Joonas Kuorilehto, CERT-FI에서 근무하는 익명의 연구원, Stonesoft사 Vulnerability Analysis Group의 Antti Levomäki 및 Lauri Virtanen
Kernel
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 로컬 응용 프로그램이 기기를 중단시킬 수 있음
설명: 커널 소켓 인터페이스의 정수 잘림 취약점을 활용하여 CPU를 무한 루프로 강제 전환할 수 있습니다. 이 문제는 더 큰 크기의 변수를 사용하여 해결되었습니다.
CVE-ID
CVE-2013-5141: CESG
Kernel
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 네트워크에 있는 공격자가 서비스 거부를 일으킬 수 있음
설명: 로컬 네트워크에 있는 공격자가 특별히 제작된 IPv6 ICMP 패킷을 보내 높은 CPU 부하를 유발할 수 있습니다. 이 문제는 체크섬을 확인하기 전에 ICMP 패킷 속도를 제한하여 해결되었습니다.
CVE-ID
CVE-2011-2391: Marc Heuse
Kernel
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 커널 스택 메모리가 로컬 사용자에게 공개될 수 있음
설명: msgctl 및 segctl API에서 정보 공개 문제가 발생했습니다. 이 문제는 커널에서 반환된 데이터 구조를 초기화하여 해결되었습니다.
CVE-ID
CVE-2013-5142: Kenx Technology, Inc.의 Kenzley Alphonse
Kernel
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 권한이 없는 프로세스가 권한 상승으로 이어질 수 있는 커널 메모리의 내용에 접근할 수 있음
설명: mach_port_space_info API에서 정보 공개 문제가 발생했습니다. 이 문제는 커널에서 반환된 구조의 iin_collision 필드를 초기화하여 해결되었습니다.
CVE-ID
CVE-2013-3953: Stefan Esser
Kernel
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 권한이 없는 프로세스가 커널에서 예기치 않은 시스템 종료를 일으키거나 임의 코드를 실행할 수 있음
설명: posix_spawn API로 전달되는 인수를 처리할 때 메모리 손상 문제가 발생했습니다. 이 문제는 추가 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2013-3954: Stefan Esser
Kext Management
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 승인되지 않은 프로세스가 로드된 커널 확장 파일 세트를 수정할 수 있음
설명: kextd가 승인되지 않은 발신자의 IPC 메시지를 처리할 때 문제가 발생했습니다. 이 문제는 승인 확인을 더 추가하여 해결되었습니다.
CVE-ID
CVE-2013-5145: 'Rainbow PRISM'
libxml
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 웹 페이지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: libxml에서 여러 메모리 손상 문제가 발생했습니다. 이 문제는 libxml을 2.9.0 버전으로 업데이트하여 해결되었습니다. 308}
CVE-ID
CVE-2011-3102: Jüri Aedla
CVE-2012-0841
CVE-2012-2807: Jüri Aedla
CVE-2012-5134: Google Chrome Security Team(Jüri Aedla)
libxslt
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 웹 페이지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: libxslt에서 여러 메모리 손상 문제가 발생했습니다. 이 문제는 libxslt를 1.1.28 버전으로 업데이트하여 해결되었습니다.
CVE-ID
CVE-2012-2825: Nicolas Gregoire
CVE-2012-2870: Nicolas Gregoire
CVE-2012-2871: Fortinet의 FortiGuard Labs에서 근무하는 Kai Lu, Nicolas Gregoire
Passcode Lock
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 기기에 물리적으로 접근할 수 있는 사람이 화면 잠금을 우회할 수 있음
설명: 잠금 화면에서 전화 통화 및 SIM 카드 추출을 처리할 때 경합 상태 문제가 발생했습니다. 이 문제는 향상된 잠금 상태 관리를 통해 해결되었습니다.
CVE-ID
CVE-2013-5147: videosdebarraquito
Personal Hotspot
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 공격자가 개인용 핫스팟 네트워크에 연결할 수 있음
설명: 개인용 핫스팟 암호 생성에 문제가 발생해서 공격자가 예측할 수 있는 암호가 생성되어 사용자의 개인용 핫스팟에 연결할 수 있었습니다. 이 문제는 더 예측하기 어려운 암호를 생성하여 해결되었습니다.
CVE-ID
CVE-2013-4616: NESO Security Labs의 Andreas Kurtz 및 University Erlangen-Nuremberg의 Daniel Metz
Push Notifications
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 푸시 알림 토큰이 사용자의 결정과 반대로 앱에 공개될 수 있음
설명: 푸시 알림 등록에서 정보 공개 문제가 발생했습니다. 푸시 알림에 접근을 요청한 앱이 사용자가 앱의 푸시 알림 사용을 승인하기 전에 토큰을 수신했습니다. 이 문제는 사용자가 접근을 승인할 때까지 토큰에 대한 접근을 보류하여 해결되었습니다.
CVE-ID
CVE-2013-5149: Grouper, Inc.의 Jack Flintermann
Safari
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: XML 파일을 처리할 때 메모리 손상 문제가 발생했습니다. 이 문제는 추가 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2013-1036: Fortinet의 FortiGuard Labs에 근무하는 Kai Lu
Safari
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 열린 탭에서 최근에 방문한 페이지 기록을 지운 후에도 방문 기록이 남아 있을 수 있음
설명: Safari의 기록을 지워도 열린 탭의 뒤로/앞으로 기록이 지워지지 않았습니다. 이 문제는 뒤로/앞으로 기록을 지워서 해결되었습니다.
CVE-ID
CVE-2013-5150
Safari
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 웹 사이트에서 파일을 보면 서버가 'Content-Type: text/plain' 헤더를 보내더라도 스크립트가 실행될 수 있음
설명: 모바일 Safari 는 서버가 'Content-Type: text/plain' 헤더를 보낸 경우에도 때때로 파일을 HTML 파일로 취급할 수 있습니다. 이로 인해 사이트에서 사용자가 파일을 업로드할 수 있는 크로스 사이트 스크립팅이 발생할 수 있습니다. 이 문제는 'Content-Type: text/plain'이 설정될 때 향상된 파일 처리를 통해 해결되었습니다.
CVE-ID
CVE-2013-5151: Github의 Ben Toews
Safari
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 웹 사이트를 방문하면 임의의 URL이 표시될 수 있음
설명: 모바일 Safari에서 URL 입력줄 스푸핑 문제가 발생했습니다. 이 문제는 향상된 URL 추적을 통해 해결되었습니다.
CVE-ID
CVE-2013-5152: keitahaga.com의 Keita Haga, RBS의 Łukasz Pilorz
Sandbox
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 스크립트인 응용 프로그램에 샌드 박스가 적용되지 않았음
설명: 스크립트를 실행하기 위해 #! 구문을 사용한 타사 응용 프로그램에 스크립트가 아닌 스크립트 인터프리터의 ID를 기반으로 샌드 박스가 적용되었습니다. 인터프리터에 샌드 박스가 정의되어 있지 않을 수 있으며, 이로 인해 응용 프로그램이 샌드 박스가 적용되지 않은 채 실행될 수 있습니다. 이 문제는 스크립트의 ID를 기반으로 샌드 박스를 생성하여 해결되었습니다.
CVE-ID
CVE-2013-5154: evad3rs
Sandbox
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 응용 프로그램이 시스템 중단을 일으킬 수 있음
설명: /dev/random 기기에 특정 값을 쓴 타사 악성 응용 프로그램이 CPU를 무한 루프에 들어가도록 강제 전환할 수 있었습니다. 이 문제는 타사 응용 프로그램이 /dev/random에 쓰는 것을 방지하여 해결되었습니다.
CVE-ID
CVE-2013-5155: CESG
Social
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 사용자의 최근 Twitter 활동이 암호가 없는 기기에서 공개될 수 있음
설명: 사용자가 최근에 사용한 Twitter 계정을 확인할 수 있는 문제가 발생했습니다. 이 문제는 Twitter 아이콘 캐시에 대한 접근을 제한하여 해결되었습니다.
CVE-ID
CVE-2013-5158: Jonathan Zdziarski
Springboard
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 분실 모드인 기기에 물리적으로 접근할 수 있는 사람이 알림을 볼 수 있음
설명: 분실 모드인 기기에서 알림을 처리할 때 문제가 발생했습니다. 이 업데이트는 향상된 잠금 상태 관리 문제를 해결합니다.
CVE-ID
CVE-2013-5153: Daniel Stangroom
Telephony
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 앱이 전화 통신 기능을 방해하거나 제어할 수 있음
설명: 전화 통신 하위 시스템에 접근 제어 문제가 발생했습니다. 샌드 박스가 적용된 앱이 지원되는 API를 우회하여 전화 통신 기능을 방해하거나 제어하는 시스템 데몬에 직접 요청할 수 있었습니다. 이 문제는 전화 통신 데몬에 의해 노출된 인터페이스에서 접근 제어를 시행하여 해결되었습니다.
CVE-ID
CVE-2013-5156: 싱가포르 경영대학교의 Qiang Yan 및 Su Mon Kywe와 협력하는 Institute for Infocomm Research의 Jin Han, 조지아 공과대학교의 Tielei Wang, Kangjie Lu, Long Lu, Simon Chung 및 Wenke Lee
Twitter
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 샌드 박스가 적용된 앱이 사용자 상호 작용이나 허가 없이 트윗을 보낼 수 있음
설명: Twitter 하위 시스템에 접근 제어 문제가 발생했습니다. 샌드 박스가 적용된 앱이 지원되는 API를 우회하여 Twitter 기능을 방해하거나 제어하는 시스템 데몬에 직접 요청할 수 있었습니다. 이 문제는 Twitter 데몬에 의해 노출된 인터페이스에서 접근 제어를 시행하여 해결되었습니다.
CVE-ID
CVE-2013-5157: 싱가포르 경영대학교의 Qiang Yan 및 Su Mon Kywe와 협력하는 Institute for Infocomm Research의 Jin Han, 조지아 공과대학교의 Tielei Wang, Kangjie Lu, Long Lu, Simon Chung 및 Wenke Lee
WebKit
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: WebKit에 여러 메모리 손상 문제가 발생했습니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2013-0879: OUSPG의 Atte Kettunen
CVE-2013-0991: Chromium 개발 커뮤니티의 Jay Civelli
CVE-2013-0992: Google Chrome Security Team(Martin Barbella)
CVE-2013-0993: Google Chrome Security Team(Inferno)
CVE-2013-0994: Google의 David German
CVE-2013-0995: Google Chrome Security Team (Inferno)
CVE-2013-0996: Google Chrome Security Team(Inferno)
CVE-2013-0997: HP의 Zero Day Initiative에 참여 중인 Vitaliy Toropov
CVE-2013-0998: HP의 Zero Day Initiative에 참여 중인 pa_kt
CVE-2013-0999: HP의 Zero Day Initiative에 참여 중인 pa_kt
CVE-2013-1000: Google Security Team의 Fermin J. Serna
CVE-2013-1001: Ryan Humenick
CVE-2013-1002: Sergey Glazunov
CVE-2013-1003: Google Chrome Security Team(Inferno)
CVE-2013-1004: Google Chrome Security Team(Martin Barbella)
CVE-2013-1005: Google Chrome Security Team(Martin Barbella)
CVE-2013-1006: Google Chrome Security Team(Martin Barbella)
CVE-2013-1007: Google Chrome Security Team(Inferno)
CVE-2013-1008: Sergey Glazunov
CVE-2013-1010: miaubiz
CVE-2013-1037: Google Chrome Security Team
CVE-2013-1038: Google Chrome Security Team
CVE-2013-1039: iDefense VCP에 참여 중인 own-hero Research
CVE-2013-1040: Google Chrome Security Team
CVE-2013-1041: Google Chrome Security Team
CVE-2013-1042: Google Chrome Security Team
CVE-2013-1043: Google Chrome Security Team
CVE-2013-1044: Apple
CVE-2013-1045: Google Chrome Security Team
CVE-2013-1046: Google Chrome Security Team
CVE-2013-1047: miaubiz
CVE-2013-2842: Cyril Cattiaux
CVE-2013-5125: Google Chrome Security Team
CVE-2013-5126: Apple
CVE-2013-5127: Google Chrome Security Team
CVE-2013-5128: Apple
WebKit
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 웹 사이트를 방문하면 정보가 공개될 수 있음
설명: window.webkitRequestAnimationFrame() API를 처리할 때 정보 공개 문제가 발생했습니다. 악의적으로 제작된 웹 사이트가 iframe을 사용하여 다른 사이트가 window.webkitRequestAnimationFrame()을 사용했는지 확인할 수 있었습니다. 이 문제는 window.webkitRequestAnimationFrame()의 향상된 처리를 통해 해결되었습니다.
CVE-ID
CVE-2013-5159
WebKit
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 HTML 스니펫을 복사하여 붙여넣으면 크로스 사이트 스크립팅 공격으로 이어질 수 있음
설명: HTML 문서에서 복사하여 붙여넣은 데이터를 처리할 때 크로스 사이트 스크립팅 문제가 발생했습니다. 이 문제는 붙여넣은 콘텐츠의 추가 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2013-0926: xys3c(xysec.com)의 Aditya Gupta, Subho Halder 및 Dev Kar
WebKit
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 웹 사이트를 방문하면 크로스 사이트 스크립팅 공격으로 이어질 수 있음
설명: iframe을 처리할 때 크로스 사이트 스크립팅 문제가 발생했습니다. 이 문제는 향상된 출처 추적을 통해 해결되었습니다.
CVE-ID
CVE-2013-1012: Facebook의 Subodh Iyengar와 Erling Ellingsen
WebKit
대상: iPhone 3GS 이상, iPod touch (4세대) 이상, iPad 2 이상
영향: 악의적으로 제작된 웹 사이트를 방문하면 정보 공개로 이어질 수 있음
설명: XSSAuditor에 정보 공개 문제가 발생했습니다. 이 문제는 향상된 URL 처리를 통해 해결되었습니다.
CVE-ID
CVE-2013-2848: Egor Homakov
WebKit
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 선택 범위를 드래그하거나 붙여넣으면 크로스 사이트 스크립팅 공격으로 이어질 수 있음
설명: 한 사이트에서 다른 사이트로 선택 범위를 드래그하거나 붙여넣으면 선택 범위에 포함된 스크립트가 새 사이트의 환경에서 실행될 수 있습니다. 이 문제는 붙여넣기 작업이나 드래그 앤 드롭 작업 전에 콘텐츠의 추가 유효성 확인을 통해 해결됩니다.
CVE-ID
CVE-2013-5129: Mario Heiderich
WebKit
대상: iPhone 4 및 이후 모델, iPod touch(5세대) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 웹 사이트를 방문하면 크로스 사이트 스크립팅 공격으로 이어질 수 있음
설명: URL을 처리할 때 크로스 사이트 스크립팅 문제가 발생했습니다. 이 문제는 향상된 출처 추적을 통해 해결되었습니다.
CVE-ID
CVE-2013-5131: Erling A Ellingsen
Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능 및 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 자세한 내용은 해당 업체에 문의하시기 바랍니다.