OS X Yosemite v10.10.3 및 보안 업데이트 2015-004의 보안 콘텐츠에 관하여
이 문서에서는 OS X Yosemite v10.10.3 및 보안 업데이트 2015-004의 보안 콘텐츠에 대해 설명합니다.
Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.
Apple 제품 보안 PGP 키에 대한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.
가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.
다른 보안 업데이트에 대한 자세한 내용은 Apple 보안 업데이트를 참조하십시오.
OS X Yosemite v10.10.3 및 보안 업데이트 2015-004
Admin Framework
대상: OS X Yosemite v10.10~v10.10.2
영향: 프로세스가 적절한 인증 없이 관리자 권한을 얻을 수 있음
설명: XPC 자격을 확인할 때 문제가 발생합니다. 이 문제는 향상된 자격 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-1130: TrueSec의 Emil Kvarnhammar
apache
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: Apache에 여러 가지 취약점이 있음
설명: Apache 2.4.10 및 2.2.29 이전 버전에 원격 공격자가 임의 코드를 실행할 수 있는 취약점을 비롯한 여러 가지 취약점이 존재합니다. 이러한 문제는 Apache를 2.4.10 및 2.2.29 버전으로 업데이트하여 해결되었습니다.
CVE-ID
CVE-2013-5704
CVE-2013-6438
CVE-2014-0098
CVE-2014-0117
CVE-2014-0118
CVE-2014-0226
CVE-2014-0231
ATS
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: fontd에 여러 가지 입력 유효성 확인 문제가 존재합니다. 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-1131: Google Project Zero의 Ian Beer
CVE-2015-1132: Google Project Zero의 Ian Beer
CVE-2015-1133: Google Project Zero의 Ian Beer
CVE-2015-1134: Google Project Zero의 Ian Beer
CVE-2015-1135: Google Project Zero의 Ian Beer
Certificate Trust Policy
영향: 인증서 신뢰 정책 업데이트
설명: 인증서 신뢰 정책이 업데이트되었습니다. 인증서의 전체 목록을 확인하십시오.
CFNetwork HTTPProtocol
대상: OS X Yosemite v10.10~v10.10.2
영향: 하나의 출처에 속한 쿠키가 다른 출처로 전송될 수 있음
설명: 리디렉션 처리 시 도메인 간 쿠키 문제가 발생합니다. 리디렉션 응답에 설정된 쿠키가 다른 출처에 속한 리디렉션 대상으로 전달될 수 있습니다. 이 문제는 향상된 리디렉션 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-1089: Niklas Keller(http://kelunik.com)
CFNetwork Session

Impact: Authentication credentials may be sent to a server on another origin
Description: A cross-domain HTTP request headers issue existed in redirect handling. HTTP request headers sent in a redirect response could be passed on to another origin. The issue was addressed through improved handling of redirects.
CVE-ID
CVE-2015-1091 : Diego Torres (http://dtorres.me)
CFURL
대상: OS X Yosemite v10.10~v10.10.2
영향: 악의적으로 제작된 웹 사이트를 방문하면 임의 코드가 실행될 수 있음
설명: URL 처리 시 입력 유효성 확인 문제가 발생합니다. 이 문제는 향상된 URL 검증을 통해 해결되었습니다.
CVE-ID
CVE-2015-1088: Luigi Galli
CoreAnimation
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: 악의적으로 제작된 웹 사이트를 방문하면 임의 코드가 실행될 수 있음
설명: CoreAnimation에 use-after-free 문제가 존재합니다. 이 문제는 향상된 뮤텍스 관리를 통해 해결되었습니다.
CVE-ID
CVE-2015-1136: Apple
CUPS
대상: OS X Yosemite v10.10~v10.10.2
영향: 로컬 사용자가 루트 권한을 사용하여 임의 코드를 실행할 수 있음
설명: CUPS가 IPP 메시지를 처리하는 방식에 use-after-free 문제가 존재합니다. 이 문제는 향상된 참조 계수를 통해 해결되었습니다.
CVE-ID
CVE-2015-1158: Google의 Neel Mehta
CUPS
대상: OS X Yosemite v10.10~v10.10.2
영향: 특정 구성에서 원격 공격자가 임의의 프린트 작업을 제출할 수 있음
설명: CUPS 웹 인터페이스에 크로스 사이트 스크립팅 문제가 존재합니다. 이 문제는 향상된 출력 삭제를 통해 해결되었습니다.
CVE-ID
CVE-2015-1159: Google의 Neel Mehta
FontParser
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: 악의적으로 제작된 서체 파일을 처리하면 임의 코드가 실행될 수 있음
설명: 서체 파일을 처리할 때 여러 가지 메모리 손상 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-1093: Marc Schoenefeld
Graphics Driver
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: NVIDIA 그래픽 드라이버에서 특정 IOService userclient 유형을 처리할 때 NULL 포인터 역참조가 발생합니다. 이 문제는 추가적인 컨텍스트 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-1137: Yahoo Pentest Team의 Frank Graziano 및 John Villamil
Hypervisor
대상: OS X Yosemite v10.10~v10.10.2
영향: 로컬 응용 프로그램이 서비스 거부를 야기할 수 있음
설명: 하이퍼바이저 프레임워크에 입력 유효성 확인 문제가 존재합니다. 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-1138: Izik Eidus 및 Alex Fishman
ImageIO
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: 악의적으로 제작된 .sgi 파일을 처리하면 임의 코드가 실행될 수 있음
설명: .sgi 파일을 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-1139: Apple
IOHIDFamily
대상: OS X Yosemite v10.10~v10.10.2
영향: 악성 HID 기기가 임의 코드 실행을 야기할 수 있음
설명: IOHIDFamily API에 메모리 손상 문제가 존재합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-1095: Andrew Church
IOHIDFamily
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOHIDFamily에 버퍼 오버플로우 문제가 존재합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-1140: HP의 Zero Day Initiative에 참여 중인 lokihardt@ASRT, Luca Todesco, HP의 ZDI(Zero Day Initiative)에 참여 중인 Vitaliy Toropov
IOHIDFamily
대상: OS X Yosemite v10.10~v10.10.2
영향: 로컬 사용자가 커널 메모리 레이아웃을 확인할 수 있음
설명: IOHIDFamily에 커널 메모리 콘텐츠가 공개되는 문제가 존재합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-1096: IOActive의 Ilja van Sprundel
IOHIDFamily
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOHIDFamily가 키 매핑 속성을 처리할 때 힙 버퍼 오버플로우가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-4404: Google Project Zero의 Ian Beer
IOHIDFamily
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOHIDFamily가 키 매핑 속성을 처리할 때 null 포인터 역참조가 발생합니다. 이 문제는 IOHIDFamily 키 매핑 속성의 향상된 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-4405: Google Project Zero의 Ian Beer
IOHIDFamily
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
영향: 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOHIDFamily 드라이버에 범위를 벗어난 쓰기 문제가 존재합니다. 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-4380: Venustech Adlab의 cunzhang
Kernel
대상: OS X Yosemite v10.10~v10.10.2
영향: 로컬 사용자가 시스템을 예기치 않게 종료할 수 있음
설명: 가상 메모리 작업을 처리할 때 커널 내에서 문제가 발생합니다. 이 문제는 향상된 mach_vm_read 작업 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-1141: www.frida.re의 Ole Andre Vadla Ravnas
Kernel
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: 로컬 사용자가 시스템 서비스 거부를 야기할 수 있음
설명: 커널의 setreuid 시스템 호출 시 경합 상태가 발생합니다. 이 문제는 향상된 상태 관리를 통해 해결되었습니다.
CVE-ID
CVE-2015-1099: Google Inc.의 Mark Mentovai
Kernel
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: 로컬 응용 프로그램이 축소된 권한으로 실행되도록 의도된 침해된 서비스를 사용하여 권한을 에스컬레이션할 수 있음
설명: setreuid 및 setregid 시스템 호출이 권한을 영구적으로 낮추지 못했습니다. 이 문제는 권한을 올바르게 낮추어 해결되었습니다.
CVE-ID
CVE-2015-1117: Google Inc.의 Mark Mentovai
Kernel
대상: OS X Yosemite v10.10~v10.10.2
영향: 네트워크에서 권한 있는 위치에 있는 공격자가 사용자 트래픽을 임의 호스트로 리디렉션할 수 있음
설명: ICMP 리디렉션이 OS X에서 기본적으로 활성화되어 있습니다. 이 문제는 ICMP 리디렉션을 비활성화하여 해결되었습니다.
CVE-ID
CVE-2015-1103: Zimperium Mobile Security Labs
Kernel
대상: OS X Yosemite v10.10~v10.10.2
영향: 네트워크에서 권한 있는 위치에 있는 공격자가 서비스 거부를 야기할 수 있음
설명: TCP 헤더를 처리할 때 상태 불일치가 발생합니다. 이 문제는 향상된 상태 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-1102: Kaspersky Lab의 Andrey Khudyakov 및 Maxim Zhuravlev
Kernel
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: 로컬 사용자가 예기치 않은 시스템 종료를 일으키거나 커널 메모리를 읽을 수 있음
설명: 커널에 범위를 벗어난 접근 문제가 존재합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-1100: m00nbsd의 Maxime Villard
Kernel
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: 원격 공격자가 네트워크 필터를 우회할 수 있음
설명: 시스템에서 원격 네트워크 인터페이스의 일부 IPv6 패킷을 로컬 패킷으로 처리합니다. 이 문제는 이러한 패킷을 거부하여 해결되었습니다.
CVE-ID
CVE-2015-1104: Google Security Team의 Stephen Roettger
Kernel
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: 로컬 사용자가 커널 권한을 사용하여 임의 코드를 실행할 수 있음
설명: 커널에 메모리 손상 문제가 존재합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-1101: HP의 Zero Day Initiative에 참여 중인 lokihardt@ASRT
Kernel
대상: OS X Yosemite v10.10~v10.10.2
영향: 원격 공격자가 서비스 거부를 야기할 수 있음
설명: TCP 대역 외 데이터를 처리할 때 상태 불일치 문제가 발생합니다. 이 문제는 향상된 상태 관리를 통해 해결되었습니다.
CVE-ID
CVE-2015-1105: Sandstorm.io의 Kenton Varda
LaunchServices
대상: OS X Yosemite v10.10~v10.10.2
영향: 로컬 사용자가 Finder 충돌을 야기할 수 있음
설명: LaunchServices가 응용 프로그램 현지화 데이터를 처리할 때 입력 유효성 확인 문제가 발생합니다. 이 문제는 향상된 현지화 데이터의 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-1142
LaunchServices
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: LaunchServices가 현지화된 문자열을 처리할 때 유형 혼동 문제가 발생합니다. 이 문제는 추가적인 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-1143: Apple
libnetcore
대상: OS X Yosemite v10.10~v10.10.2
영향: 악의적으로 제작된 구성 프로파일을 처리하면 응용 프로그램이 예기치 않게 종료될 수 있음
설명: 구성 프로파일을 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-1118: FireEye, Inc.의 Zhaofeng Chen, Hui Xue, Yulong Zhang 및 Tao Wei
ntp
대상: OS X Yosemite v10.10~v10.10.2
영향: 원격 공격자가 ntpd 인증 키를 무차별로 대입할 수 있음
설명: 인증 키가 구성되지 않은 경우 ntpd의 config_auth 함수가 취약한 키를 생성합니다. 이 문제는 향상된 키 생성을 통해 해결되었습니다.
CVE-ID
CVE-2014-9298
OpenLDAP
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: 인증되지 않은 원격 클라이언트가 서비스 거부를 일으킬 수 있음
설명: OpenLDAP에 여러 가지 입력 유효성 확인 문제가 존재합니다. 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-1545: Ryan Tandy
CVE-2015-1546: Ryan Tandy
OpenSSL
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: OpenSSL에 여러 가지 취약점이 존재함
설명: 공격자가 내보내기 등급 암호를 지원하는 서버에 대한 연결을 가로챌 수 있는 취약점을 비롯한 여러 가지 취약점이 OpenSSL 0.9.8zc에 존재합니다. 이러한 문제는 OpenSSL을 0.9.8zd 버전으로 업데이트하여 해결되었습니다.
CVE-ID
CVE-2014-3569
CVE-2014-3570
CVE-2014-3571
CVE-2014-3572
CVE-2014-8275
CVE-2015-0204
Open Directory Client
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: OS X Server에서 Open Directory를 사용할 때 네트워크를 통해 암호화되지 않은 암호가 전송될 수 있음
설명: Open Directory 클라이언트가 OS X Server에 바인딩되었지만 OS X Server의 인증서를 설치하지 않은 상태에서 해당 클라이언트의 사용자가 암호를 변경한 경우, 암호 변경 요청이 암호화되지 않고 네트워크를 통해 전송됩니다. 이 문제는 클라이언트가 이와 같은 경우에 암호화를 요구하도록 하여 해결되었습니다.
CVE-ID
CVE-2015-1147: Apple
PHP
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: PHP에 여러 가지 취약점이 존재함
설명: PHP 5.3.29, 5.4.38 및 5.5.20 이전 버전에 임의 코드가 실행될 수 있는 취약점을 비롯한 여러 가지 취약점이 존재합니다. 이 업데이트는 PHP를 5.3.29, 5.4.38 및 5.5.20 버전으로 업데이트하여 문제를 해결합니다.
CVE-ID
CVE-2013-6712
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-2497
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3538
CVE-2014-3587
CVE-2014-3597
CVE-2014-3668
CVE-2014-3669
CVE-2014-3670
CVE-2014-3710
CVE-2014-3981
CVE-2014-4049
CVE-2014-4670
CVE-2014-4698
CVE-2014-5120
QuickLook
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: 악의적으로 제작된 iWork 파일을 열면 임의 코드가 실행될 수 있음
설명: iWork 파일을 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-1098: Christopher Hickstein
SceneKit
대상: OS X Mountain Lion v10.8.5
영향: 악의적으로 제작된 Collada 파일을 보면 임의 코드가 실행될 수 있음
설명: SceneKit에서 Collada 파일을 처리할 때 힙 버퍼 오버플로우가 발생합니다. 악의적으로 제작된 Collada 파일을 보면 임의 코드가 실행될 수 있습니다. 이 문제는 접근자 요소에 대한 향상된 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-8830: Google Security Team의 Jose Duart
Screen Sharing
대상: OS X Yosemite v10.10~v10.10.2
영향: 사용자의 암호가 로컬 파일에 기록될 수 있음
설명: 일부 상황에서 화면 공유가 시스템의 다른 사용자가 읽을 수 없는 사용자의 암호를 기록할 수 있습니다. 이 문제는 자격 증명의 기록을 제거하여 해결되었습니다.
CVE-ID
CVE-2015-1148: Apple
Secure Transport
대상: OS X Yosemite v10.10~v10.10.2
영향: 악의적으로 제작된 X.509 인증서를 처리하면 응용 프로그램이 예기치 않게 종료될 수 있음
설명: X.509 인중서를 처리할 때 NULL 포인터 역참조 문제가 발생합니다. 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-1160: Skycure Security Research의 Elisha Eshed, Roy Iarchy 및 Yair Amit
Security - Code Signing
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: 변조된 응용 프로그램의 실행이 차단되지 않을 수 있음
설명: 특별히 제작된 번들이 포함된 응용 프로그램이 완전히 유효한 서명 없이 실행될 수 있습니다. 이 문제는 확인을 더 추가하여 해결되었습니다.
CVE-ID
CVE-2015-1145
CVE-2015-1146
UniformTypeIdentifiers
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.2
영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: Uniform Type Identifier를 처리하는 방식에 버퍼 오버플로우가 존재합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-1144: Apple
WebKit
대상: OS X Yosemite v10.10~v10.10.2
영향: 악의적으로 제작된 웹 사이트를 방문하면 임의 코드가 실행될 수 있음
설명: WebKit에 메모리 손상 문제가 존재합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-1069: HP의 Zero Day Initiative에 참여 중인 lokihardt@ASRT
보안 업데이트 2015-004(OS X Mountain Lion v10.8.5 및 OS X Mavericks v10.9.5에 사용 가능)는 보안 업데이트 2015-002의 CVE-2015-1067에 대한 수정 사항으로 인해 발생하는 문제도 해결합니다. 이 문제로 인해 모든 버전의 원격 Apple 이벤트 클라이언트가 원격 Apple 이벤트 서버에 연결되지 않습니다. 기본 구성에서 원격 Apple 이벤트가 활성화되어 있지 않습니다.
OS X Yosemite v10.10.3에는 Safari 8.0.5의 보안 콘텐츠가 포함되어 있습니다.
Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능 및 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 자세한 내용은 해당 업체에 문의하시기 바랍니다.