OS X Mountain Lion v10.8.5 및 보안 업데이트 2013-004의 보안 콘텐츠에 관하여

이 문서에서는 OS X Mountain Lion v10.8.5 및 보안 업데이트 2013-004의 보안 콘텐츠에 대해 설명합니다.

이러한 버전은 소프트웨어 업데이트 환경설정 또는 Apple 다운로드 사이트를 통해 다운로드하여 설치할 수 있습니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.

OS X Mountain Lion v10.8.5 및 보안 업데이트 2013-004

• Apache

  대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

  영향: Apache에 여러 가지 취약점이 존재함

  설명: Apache에 여러 가지 취약점이 존재하며 이 중 가장 심각한 취약점으로 인해 크로스 사이트 스크립팅이 발생할 수 있습니다. 이러한 문제는 Apache를 2.2.24 버전으로 업데이트하여 해결되었습니다.

  CVE-ID

  CVE-2012-0883

  CVE-2012-2687

  CVE-2012-3499

  CVE-2012-4558

• Bind

  대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

  영향: BIND에 여러 가지 취약점이 존재함

  설명: BIND에 여러 가지 취약점이 존재하며 이 중 가장 심각한 취약점으로 인해 서비스 거부가 발생할 수 있습니다. 이러한 문제는 BIND를 9.8.5-P1 버전으로 업데이트하여 해결되었습니다. Mac OS X v10.7이 설치된 시스템은 CVE-2012-5688의 영향을 받지 않습니다.

  CVE-ID

  CVE-2012-3817

  CVE-2012-4244

  CVE-2012-5166

  CVE-2012-5688

  CVE-2013-2266

• Certificate Trust Policy

  대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

  영향: 루트 인증서가 업데이트되었음

  설명: 여러 인증서가 시스템 루트 목록에서 추가 또는 제거되었습니다. 인식된 시스템 루트의 전체 목록은 키체인 접근 응용 프로그램을 통해 볼 수 있습니다.

• ClamAV

  대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

  영향: ClamAV에 여러 가지 취약점이 존재함

  설명: ClamAV에 여러 가지 취약점이 존재하며 이 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 ClamAV를 0.97.8 버전으로 업데이트하여 문제를 해결합니다.

  CVE-ID

  CVE-2013-2020

  CVE-2013-2021

• CoreGraphics

  대상: OS X Mountain Lion v10.8~v10.8.4

  영향: 악의적으로 제작된 PDF 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: PDF 파일에서 JBIG2로 인코딩된 데이터를 처리할 때 버퍼 오버플로우가 발생했으나 이 문제는 추가적인 범위 검사를 통해 해결되었습니다.

  CVE-ID

  CVE-2013-1025: Google Security Team의 Felix Groebert

• ImageIO

  대상: OS X Mountain Lion v10.8~v10.8.4

  영향: 악의적으로 제작된 PDF 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: PDF 파일에서 JPEG2000으로 인코딩된 데이터를 처리할 때 버퍼 오버플로우가 발생했으나 이 문제는 추가적인 범위 검사를 통해 해결되었습니다.

  CVE-ID

  CVE-2013-1026: Google Security Team의 Felix Groebert

• Installer

  대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

  영향: 인증서 파기 후 패키지를 열 수 없음

  설명: 설치 프로그램에서 파기된 인증서가 발견되면 계속 진행할지 묻는 옵션이 표시된 대화상자가 나타납니다. 이 문제는 대화상자를 제거하고 파기된 패키지를 거부하여 해결되었습니다.

  CVE-ID

  CVE-2013-1027

• IPSec

  대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

  영향: 공격자가 IPSec Hybrid Auth로 보호되는 데이터를 가로챌 수 있음

  설명: IPSec Hybrid Auth 서버의 DNS 이름이 인증서와 일치하지 않아 한 서버의 인증서를 가진 공격자가 다른 서버를 가장할 수 있습니다. 이 문제는 인증서를 적절하게 확인하여 해결되었습니다.

  CVE-ID

  CVE-2013-1028: www.traud.de의 Alexander Traud

• Kernel

  대상: OS X Mountain Lion v10.8~v10.8.4

  영향: 로컬 네트워크 사용자가 서비스 거부를 야기할 수 있음

  설명: 커널 내 IGMP 패킷 구문 분석 코드의 잘못된 확인으로 인해 시스템에 IGMP 패킷을 보낼 수 있는 사용자가 커널 패닉을 야기할 수 있었으나 이 문제는 해당 확인을 제거하여 해결되었습니다.

  CVE-ID

  CVE-2013-1029: PROTECTSTAR INC.의 Christopher Bohn

• Mobile Device Management

  대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

  영향: 암호가 다른 로컬 사용자에게 공개될 수 있음

  설명: 암호가 명령줄에서 mdmclient로 전달되어 동일한 시스템의 다른 사용자가 암호를 볼 수 있었으나 이 문제는 파이프를 통해 암호를 전달하여 해결되었습니다.

  CVE-ID

  CVE-2013-1030: University of Gothenburg의 Per Olofsson

• OpenSSL

  대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

  영향: OpenSSL에 여러 가지 취약점이 존재함

  설명: OpenSSL에 여러 가지 취약점이 존재하며 이 중 가장 심각한 취약점으로 인해 사용자 데이터가 공개될 수 있습니다. 이러한 문제는 OpenSSL을 0.9.8y 버전으로 업데이트하여 해결되었습니다.

  CVE-ID

  CVE-2012-2686

  CVE-2013-0166

  CVE-2013-0169

• PHP

  대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

  영향: PHP에 여러 가지 취약점이 존재함

  설명: PHP에 여러 가지 취약점이 존재하며 이 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있습니다. 이러한 문제는 PHP를 5.3.26 버전으로 업데이트하여 해결되었습니다.

  CVE-ID

  CVE-2013-1635

  CVE-2013-1643

  CVE-2013-1824

  CVE-2013-2110

• PostgreSQL

  대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

  영향: PostgreSQL에 여러 가지 취약점이 존재함

  설명: PostgreSQL에 여러 가지 취약점이 존재하며 이 중 가장 심각한 취약점으로 인해 데이터 손상이나 권한 에스컬레이션이 야기될 수 있습니다. OS X Lion이 설치된 시스템은 CVE-2013-1901의 영향을 받지 않습니다. 이 업데이트에서는 PostgreSQL을 OS X Mountain Lion 시스템에서 9.1.9 버전으로, OS X Lion 시스템에서 9.0.4로 업데이트하여 문제를 해결합니다.

  CVE-ID

  CVE-2013-1899

  CVE-2013-1900

  CVE-2013-1901

• Power Management

  대상: OS X Mountain Lion v10.8~v10.8.4

  영향: 지정된 시간이 지나면 화면 보호기가 시작되지 않을 수 있음

  설명: 전원 어설션 잠금 문제가 발생했으나 이 문제는 향상된 잠금 처리를 통해 해결되었습니다.

  CVE-ID

  CVE-2013-1031

• QuickTime

  대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

  영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: QuickTime 동영상 파일의 'idsc' 요소를 처리할 때 메모리 손상 문제가 발생했으나 이 문제는 추가적인 범위 검사를 통해 해결되었습니다.

  CVE-ID

  CVE-2013-1032: iDefense VCP의 Jason Kratzer

• Screen Lock

  대상: OS X Mountain Lion v10.8~v10.8.4

  영향: 화면 공유 접근 권한을 가진 사용자는 다른 사용자가 로그인되어 있을 때 화면 잠금을 우회할 수 있음

  설명: 화면 잠금에서 화면 공유 세션을 처리할 때 세션 관리 문제가 발생했으나 이 문제는 향상된 세션 추적을 통해 해결되었습니다.

  CVE-ID

  CVE-2013-1033: Atos IT Solutions의 Jeff Grisso, Sébastien Stormacq

• sudo

  대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

  영향: 관리자 계정을 제어하는 공격자가 사용자의 암호를 몰라도 루트 권한을 얻을 수 있음

  설명: 시스템 시계를 설정함으로써 공격자는 sudo를 사용하여 이전에 sudo가 사용된 시스템에서 루트 권한을 얻을 수 있습니다. OS X에서는 관리자만 시스템 시계를 변경할 수 있습니다. 이 문제는 유효하지 않은 타임스탬프를 확인하여 해결되었습니다.

  CVE-ID

  CVE-2013-1775

• 참고: OS X Mountain Lion v10.8.5는 특정 유니코드 문자열로 인해 응용 프로그램을 예기치 않게 종료될 수 있는 문제도 해결합니다.