Safari 5.1 및 Safari 5.0.6의 보안 콘텐츠에 관하여

이 문서는 Safari 5.1과 Safari 5.0.6의 보안 콘텐츠에 대해 설명합니다. Safari 5.1은 OS X Lion에 포함되어 있습니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.

Safari 5.1 및 Safari 5.0.6

• CFNetwork

  대상: Windows 7, Vista, XP SP2 및 이후 버전

  영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 크로스 사이트 스크립팅 공격이 실행될 수 있음

  설명: 특정 상황에서 Safari는 'text/plain' 콘텐츠 유형으로 제공되는 파일도 HTML로 취급할 수 있습니다. 이로 인해 사이트에서 신뢰할 수 없는 사용자가 텍스트 파일을 게시할 수 있는 크로스 사이트 스크립팅 공격이 실행될 수 있습니다. 이 문제는 'text/plain' 콘텐츠의 향상된 처리를 통해 해결되었습니다.

  CVE-ID

  CVE-2010-1420: MSVR(Microsoft Vulnerability Research)에 참여 중인 Hidetake Jo, Matasano Security의 Neal Poole

• CFNetwork

  대상: Windows 7, Vista, XP SP2 및 이후 버전

  영향: 악의적으로 제작된 웹 사이트를 인증하면 임의 코드가 실행될 수 있음

  설명: NTLM 인증 프로토콜은 자격 증명 반영이라고 하는 리플레이 공격을 받을 수 있습니다. 악의적으로 제작된 웹 사이트를 인증하면 임의 코드가 실행될 수 있습니다. 이 문제를 완화하기 위해 최근 Windows에 추가된 보호 메커니즘을 사용하도록 Safari가 업데이트되었습니다. 이 문제는 Mac OS X 시스템에 영향을 주지 않습니다.

  CVE-ID

  CVE-2010-1383: IBM X-Force Research의 Takehiro Takahashi

• CFNetwork

  대상: Windows 7, Vista, XP SP2 및 이후 버전

  영향: 비활성화된 루트 인증서를 여전히 신뢰할 수 있음

  설명: CFNetwork가 SSL 서버에서 사용할 수 있도록 신뢰된 인증서인지 제대로 확인하지 않았습니다. 그 결과, 사용자가 시스템 루트 인증서를 신뢰할 수 없는 것으로 표시한 경우 Safari에서는 여전히 해당 루트가 서명한 인증서를 승인합니다. 이 문제는 향상된 인증서 유효성 확인을 통해 해결되었습니다. 이 문제는 Mac OS X 시스템에 영향을 주지 않습니다.

  CVE-ID

  CVE-2011-0214: 익명의 보고자

• ColorSync

  대상: Windows 7, Vista, XP SP2 및 이후 버전

  영향: 내장된 ColorSync 프로파일을 사용하여 악의적으로 제작된 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: 내장된 ColorSync 프로파일을 사용하여 이미지를 처리할 때 정수 오버플로우가 발생하며, 이로 인해 힙 버퍼 오버플로우가 발생할 수 있습니다. 내장된 ColorSync 프로파일이 있는 악의적으로 제작된 이미지를 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. Mac OS X v10.5 시스템의 경우 이 문제는 보안 업데이트 2011-004에서 해결되었습니다.

  CVE-ID

  CVE-2011-0200: TippingPoint의 Zero Day Initiative에 참여 중인 binaryproof

• CoreFoundation

  대상: Windows 7, Vista, XP SP2 및 이후 버전

  영향: CoreFoundation 프레임워크를 사용하는 응용 프로그램이 예기치 않은 응용 프로그램 종료 또는 임의 코드 실행에 취약할 수 있음

  설명: CFStrings를 처리할 때 off-by-one 버퍼 오버플로우 문제가 발생했습니다. CoreFoundation 프레임워크를 사용하는 응용 프로그램은 예기치 않은 응용 프로그램 종료나 임의 코드 실행에 취약할 수 있습니다. Mac OS X v10.6 시스템의 경우 이 문제는 Mac OS X v10.6.8에서 해결되었습니다.

  CVE-ID

  CVE-2011-0201: Harry Sintonen

• CoreGraphics

  대상: Windows 7, Vista, XP SP2 및 이후 버전

  영향: 악의적으로 제작된 PDF 파일을 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: Type 1 서체를 처리할 때 정수 오버플로우 문제가 발생했습니다. 악의적으로 제작된 내장 서체가 포함된 문서를 보거나 다운로드하는 경우 임의 코드가 실행될 수 있습니다. Mac OS X v10.6 시스템의 경우 이 문제는 Mac OS X v10.6.8에서 해결되었습니다. Mac OS X v10.5 시스템의 경우 이 문제는 보안 업데이트 2011-004에서 해결되었습니다.

  CVE-ID

  CVE-2011-0202: Modulo Consulting의 Cristian Draghici, Google 보안 팀의 Felix Grobert

• International Components for Unicode

  대상: Windows 7, Vista, XP SP2 및 이후 버전

  영향: ICU를 사용하는 응용 프로그램이 예기치 않은 응용 프로그램 종료나 임의 코드 실행에 취약할 수 있음

  설명: ICU의 대문자를 처리할 때 버퍼 오버플로우 문제가 발생했습니다. ICU를 사용하는 응용 프로그램은 예기치 않은 응용 프로그램 종료나 임의 코드 실행에 취약할 수 있습니다. Mac OS X v10.6 시스템의 경우 이 문제는 Mac OS X v10.6.8에서 해결되었습니다.

  CVE-ID

  CVE-2011-0206: Mozilla의 David Bienvenu

• ImageIO

  대상: Windows 7, Vista, XP SP2 및 이후 버전

  영향: 악의적으로 제작된 TIFF 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: ImageIO에서 TIFF 이미지를 처리할 때 힙 버퍼 오버플로우가 발생했습니다. 악의적으로 제작된 TIFF 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. Mac OS X v10.6 시스템의 경우 이 문제는 Mac OS X v10.6.8에서 해결되었습니다. Mac OS X v10.5 시스템의 경우 이 문제는 보안 업데이트 2011-004에서 해결되었습니다.

  CVE-ID

  CVE-2011-0204: NGS Secure의 Dominic Chell

• ImageIO

  대상: Windows 7, Vista, XP SP2 및 이후 버전

  영향: 악의적으로 제작된 TIFF 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: ImageIO에서 CCITT Group 4로 인코딩된 TIFF 이미지를 처리할 때 힙 버퍼 오버플로우가 발생했습니다. 악의적으로 제작된 TIFF 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

  CVE-ID

  CVE-2011-0241: Tessi Technologies의 Cyril CATTIAUX

• ImageIO

  대상: Windows 7, Vista, XP SP2 및 이후 버전

  영향: 악의적으로 제작된 TIFF 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: ImageIO에서 TIFF 이미지를 처리할 때 재진입 문제가 발생했습니다. 악의적으로 제작된 TIFF 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 Mac OS X 시스템에 영향을 주지 않습니다.

  CVE-ID

  CVE-2011-0215: iDefense VCP에 참여 중인 Juan Pablo Lopez Yacubian

• ImageIO

  대상: Windows 7, Vista, XP SP2 및 이후 버전

  영향: 악의적으로 제작된 TIFF 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: ImageIO에서 TIFF 이미지를 처리할 때 힙 버퍼 오버플로우가 발생했습니다. 악의적으로 제작된 TIFF 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. Mac OS X v10.6 시스템의 경우 이 문제는 Mac OS X v10.6.8에서 해결되었습니다. Mac OS X v10.5 시스템의 경우 이 문제는 보안 업데이트 2011-004에서 해결되었습니다.

  CVE-ID

  CVE-2011-0204: NGS Secure의 Dominic Chell

• libxslt

  대상: Windows 7, Vista, XP SP2 및 이후 버전

  영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 힙의 주소가 공개될 수 있음

  설명: libxslt의 generate-id() XPath 함수를 구현할 때 힙 버퍼의 주소가 공개되었습니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 힙의 주소가 공개될 수 있습니다. 이 문제는 두 힙 버퍼의 주소 차이에 따라 ID를 생성하여 해결되었습니다. Mac OS X v10.6 시스템의 경우 이 문제는 Mac OS X v10.6.8에서 해결되었습니다. Mac OS X v10.5 시스템의 경우 이 문제는 보안 업데이트 2011-004에서 해결되었습니다.

  CVE-ID

  CVE-2011-0195: Google Chrome Security Team의 Chris Evans

• libxml

  대상: Windows 7, Vista, XP SP2 및 이후 버전

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: libxml에서 XML 데이터를 처리할 때 1바이트 힙 버퍼 오버플로우가 발생했습니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

  CVE-ID

  CVE-2011-0216: Google Security Team의 Billy Rios

• Safari

  대상: Mac OS X 10.6.8 및 이후 버전, Mac OS X Server 10.6.8 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전

  영향: '웹 양식 자동 완성' 기능이 활성화된 경우 악의적으로 제작된 웹 사이트를 방문하고 입력하면 사용자의 주소록에 있는 정보가 공개될 수 있음

  설명: Safari의 '웹 양식 자동 완성' 기능이 보이지 않는 양식 필드를 채웠으며 사용자가 양식을 제출하기 전에 사이트의 스크립트로 정보에 접근할 수 있었습니다. 이 문제는 채워야 하는 모든 필드를 표시하고, 양식에 자동 완성 정보를 사용하기 전에 사용자의 동의를 요청하는 방식으로 해결되었습니다.

  CVE-ID

  CVE-2011-0217: BSI의 Florian Rienhardt, Alex Lambert, Jeremiah Grossman

• Safari

  대상: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.8 및 이후 버전, Mac OS X Server 10.6.8 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전

  영향: 특정 Java 구성의 경우 악의적인 웹 사이트를 방문하면 다른 사이트에 예기치 않은 텍스트가 표시될 수 있음

  설명: Java 애플릿을 처리할 때 출처 간 문제가 발생했습니다. 이는 Java가 Safari에서 활성화되어 있고 Java가 브라우저 프로세스 내에서 실행되도록 구성된 경우에 적용됩니다. Java 애플릿에서 로드한 서체가 다른 사이트의 텍스트 콘텐츠 표시에 영향을 줄 수 있습니다. 이 문제는 별도의 프로세스에서 Java 애플릿을 실행하여 해결되었습니다.

  CVE-ID

  CVE-2011-0219: Kaon Interactive의 Joshua Smith

• WebKit

  대상: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.8 및 이후 버전, Mac OS X Server 10.6.8 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 여러 가지 메모리 손상 문제가 발생했습니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

  CVE-ID

  CVE-2010-1823: Microsoft 및 MSVR(Microsoft Vulnerability Research)의 David Weston, team509의 wushi, Research In Motion Ltd.의 Yong Li

  CVE-2011-0164: Apple

  CVE-2011-0218: Google Chrome Security Team의 SkyLined

  CVE-2011-0221: Google Chrome Security Team의 Abhishek Arya(Inferno)

  CVE-2011-0222: CISS Research Team의 Nikita Tarakanov 및 Alex Bazhanyuk, Google Chrome Security Team의 Abhishek Arya(Inferno)

  CVE-2011-0223: iDefense VCP에 참여 중인 spa-s3c.blogspot.com의 Jose A. Vazquez

  CVE-2011-0225: Google Chrome Security Team의 Abhishek Arya(Inferno)

  CVE-2011-0232: TippingPoint의 Zero Day Initiative에 참여 중인 J23

  CVE-2011-0233: TippingPoint의 Zero Day Initiative에 참여 중인 team509의 wushi

  CVE-2011-0234: TippingPoint의 Zero Day Initiative에 참여 중인 Rob King, TippingPoint의 Zero Day Initiative에 참여 중인 team509의 wushi, iDefense VCP에 참여 중인 team509의 wushi

  CVE-2011-0235: Google Chrome Security Team의 Abhishek Arya(Inferno)

  CVE-2011-0237: iDefense VCP에 참여 중인 team509의 wushi

  CVE-2011-0238: Google Chrome Security Team의 Adam Barth

  CVE-2011-0240: iDefense VCP에 참여 중인 team509의 wushi

  CVE-2011-0253: Richard Keen

  CVE-2011-0254: TippingPoint의 Zero Day Initiative에 참여 중인 익명의 연구원

  CVE-2011-0255: TippingPoint의 Zero Day Initiative에 참여 중인 익명의 연구원

  CVE-2011-0981: Adobe Systems, Inc의 Rik Cabanier

  CVE-2011-0983: Martin Barbella

  CVE-2011-1109: Sergey Glazunov

  CVE-2011-1114: Martin Barbella

  CVE-2011-1115: Martin Barbella

  CVE-2011-1117: team509의 wushi

  CVE-2011-1121: miaubiz

  CVE-2011-1188: Martin Barbella

  CVE-2011-1203: Sergey Glazunov

  CVE-2011-1204: Sergey Glazunov

  CVE-2011-1288: Nokia의 Andreas Kling

  CVE-2011-1293: Sergey Glazunov

  CVE-2011-1296: Sergey Glazunov

  CVE-2011-1449: Marek Majkowski, iDefense VCP에 참여 중인 team509의 wushi

  CVE-2011-1451: Sergey Glazunov

  CVE-2011-1453: TippingPoint의 Zero Day Initiative에 참여 중인 team509의 wushi

  CVE-2011-1457: Google의 John Knottenbelt

  CVE-2011-1462: team509의 wushi

  CVE-2011-1797: team509의 wushi

  CVE-2011-3438: iDefense VCP에 참여 중인 team509의 wushi

  CVE-2011-3443: iDefense VCP에 참여 중인 익명의 연구원

• WebKit

  대상: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.8 및 이후 버전, Mac OS X Server 10.6.8 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전

  영향: 악의적으로 제작된 웹 사이트를 방문하면 임의 코드가 실행될 수 있음

  설명: WebKit에서 libxslt를 사용할 때 구성 문제가 발생했습니다. 악의적으로 제작진 웹 사이트를 방문하면 사용자의 권한으로 임의 파일이 생성될 수 있으며, 이로 인해 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 libxslt 보안 설정을 통해 해결되었습니다.

  CVE-ID

  CVE-2011-1774: Agarri의 Nicolas Gregoire

• WebKit

  대상: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.8 및 이후 버전, Mac OS X Server 10.6.8 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전

  영향: 악의적으로 제작된 웹 사이트를 방문하면 정보가 공개될 수 있음

  설명: Web Workers를 처리할 때 출처 간 문제가 발생했습니다. 악의적으로 제작된 웹 사이트를 방문하면 정보가 공개될 수 있습니다.

  CVE-ID

  CVE-2011-1190: divricean.ro의 Daniel Divricean

• WebKit

  대상: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.8 및 이후 버전, Mac OS X Server 10.6.8 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전

  영향: 악의적으로 제작된 웹 사이트를 방문하면 크로스 사이트 스크립팅 공격이 실행될 수 있음

  설명: 사용자 이름이 포함된 URL을 처리할 때 출처 간 문제가 발생했습니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 크로스 사이트 스크립팅 공격이 실행될 수 있습니다. 이 문제는 사용자 이름이 포함된 URL에 대한 향상된 처리를 통해 해결되었습니다.

  CVE-ID

  CVE-2011-0242: Online24의 Jobert Abma

• WebKit

  대상: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.8 및 이후 버전, Mac OS X Server 10.6.8 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전

  영향: 악의적으로 제작된 웹 사이트를 방문하면 크로스 사이트 스크립팅 공격이 실행될 수 있음

  설명: DOM 노드를 처리할 때 출처 간 문제가 발생했습니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 크로스 사이트 스크립팅 공격이 실행될 수 있습니다.

  CVE-ID

  CVE-2011-1295: Sergey Glazunov

• WebKit

  대상: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.8 및 이후 버전, Mac OS X Server 10.6.8 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전

  영향: 악의적으로 제작된 웹 사이트로 인해 주소 표시줄에 다른 URL이 표시될 수 있음

  설명: DOM history 대상체를 처리할 때 URL 스푸핑 문제가 발생했습니다. 악의적으로 제작된 웹 사이트로 인해 주소 표시줄에 다른 URL이 표시될 수 있습니다.

  CVE-ID

  CVE-2011-1107: Jordi Chancel

• WebKit

  대상: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.8 및 이후 버전, Mac OS X Server 10.6.8 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전

  영향: 악의적으로 제작된 RSS 피드를 구독하고 포함된 링크를 클릭하면 정보가 공개될 수 있음

  설명: URL을 처리할 때 정규화 문제가 발생했습니다. 악의적으로 제작된 RSS 피드를 구독하고 포함된 링크를 클릭하면 사용자의 시스템에서 원격 서버로 임의 파일이 전송될 수 있습니다. 이 업데이트에서는 향상된 URL 처리 기능을 통해 문제를 해결합니다.

  CVE-ID

  CVE-2011-0244: Jason Hullinger

• WebKit

  대상: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.8 및 이후 버전, Mac OS X Server 10.6.8 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전

  영향: 메일 클라이언트와 같은 WebKit을 사용하는 응용 프로그램에서 HTML 콘텐츠를 처리할 때 임의 DNS 서버에 연결될 수 있음

  설명: 기본적으로 WebKit에서 DNS 프리페치가 활성화되었습니다. 메일 클라이언트와 같은 WebKit을 사용하는 응용 프로그램이 HTML 콘텐츠를 처리할 때 임의 DNS 서버에 연결할 수 있습니다. 이 업데이트에서는 응용 프로그램에서 DNS 프리페치에 동의하도록 요구하여 문제를 해결합니다.

  CVE-ID

  CVE-2010-3829: Cardwell IT Ltd.의 Mike Cardwell