iPhone 1.1.1 업데이트 보안 콘텐츠에 관하여
이 문서에서는 iPhone v1.1.1 업데이트의 보안 콘텐츠에 대해 설명합니다.
Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.
Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.
가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.
다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.
iPhone v1.1.1 업데이트
Bluetooth
CVE-ID: CVE-2007-3753
영향: Bluetooth 범위 내에 있는 공격자가 응용 프로그램을 예기치 않게 종료하거나 임의의 코드를 실행할 수 있음.
설명: iPhone의 Bluetooth 서버에 입력 유효성 확인 문제가 발생합니다. Bluetooth가 활성화된 iPhone에 악의적으로 제작된 SDP(Service Discovery Protocol) 패킷을 전송하면 공격자가 문제를 트리거하여 응용 프로그램이 예기치 않게 종료되거나 임의의 코드가 실행될 수 있습니다. 이 업데이트에서는 SDP 패킷의 추가 유효성 확인을 수행하는 것으로 문제를 해결했습니다. 이 문제를 보고해 주신 Flexilis Mobile Security의 Kevin Mahaffey 및 John Hering 님께 감사드립니다.
CVE-ID: CVE-2007-3754
영향: 신뢰할 수 없는 네트워크로 이메일을 확인하면 중간자 공격을 통해 정보가 공개될 수 있음.
설명: 수신 및 발신 연결에 SSL을 사용하도록 Mail이 구성된 경우 메일 서버의 신원이 변경되었거나 신뢰할 수 없을 때 사용자에게 경고가 표시되지 않습니다. 연결을 가로챌 수 있는 공격자는 사용자의 메일 서버를 가장하여 사용자의 이메일 자격 증명 또는 기타 민감한 정보를 수집할 수 있습니다. 이 업데이트에서는 원격 메일 서버의 신원이 변경된 경우 적절하게 경고를 표시하는 것으로 문제를 해결했습니다.
CVE-ID: CVE-2007-3755
영향: Mail에서 전화('tel:') 링크를 실행하면 확인 없이 전화번호로 전화를 걺.
설명: Mail에서 전화를 걸 수 있는 전화('tel:') 링크를 지원합니다. 공격자는 Mail 메시지의 전화 링크를 실행하도록 사용자를 유인하여 사용자의 확인 없이 iPhone에서 전화를 걸도록 할 수 있습니다. 이 업데이트에서는 Mail의 전화 링크를 통해 전화번호로 전화를 걸기 전에 확인 윈도우를 제공하는 것으로 문제를 해결했습니다. 이 문제를 보고해 주신 McAfee의 Andi Baritchi 님께 감사드립니다.
Safari
CVE-ID: CVE-2007-3756
영향: 악의적인 웹 사이트를 방문하면 URL 콘텐츠가 공개될 수 있음.
설명: Safari의 디자인 문제로 인해 현재 웹 페이지의 상위 윈도우에 보이는 URL을 읽을 수 있습니다. 공격자는 사용자가 악의적으로 제작된 웹 페이지를 방문하도록 유인함으로써 무관한 페이지의 URL을 수집할 수 있습니다. 이 업데이트에서는 향상된 도메인 간 보안 확인을 통해 문제를 해결했습니다. 이 문제를 보고해 주신 Google Inc.의 Michal Zalewski 님과 Secunia Research에 감사드립니다.
Safari
CVE-ID: CVE-2007-3757
영향: 악의적인 웹 사이트를 방문하면 의도치 않은 전화 걸기 또는 예상과 다른 번호로 전화 걸기가 발생할 수 있음.
설명: Safari에서 전화를 걸 수 있는 전화('tel:') 링크를 지원합니다. 전화 링크를 선택하면 Safari에서 해당 번호로 전화를 걸어야 하는지 확인합니다. 악의적으로 제작된 전화 링크의 경우 확인 중에 실제로 전화를 건 번호와 다른 번호가 표시될 수 있습니다. 확인 절차 도중에 Safari를 종료하면 의도하지 않은 확인이 이루어질 수 있습니다. 이 업데이트에서는 전화를 거는 번호를 올바르게 표시하고 전화 링크에 대한 확인을 요청하는 것으로 문제를 해결했습니다. 이 문제를 보고해 주신 HP Security Labs(이전 명칭: SPI Labs)의 Billy Hoffman 및 Bryan Sullivan 님과 Eduardo Tang 님께 감사드립니다.
Safari
CVE-ID: CVE-2007-3758
영향: 악의적인 웹 사이트를 방문하면 크로스 사이트 스크립팅이 발생할 수 있음.
설명: Safari에는 다른 도메인에서 제공되는 웹 사이트의 JavaScript 윈도우 속성을 악의적인 웹 사이트가 설정할 수 있도록 허용하는 크로스 사이트 스크립팅 취약점이 존재합니다. 공격자는 사용자가 악의적으로 제작된 웹 사이트를 방문하도록 유인함으로써 문제를 트리거하여 다른 웹 사이트에서 제공되는 페이지의 윈도우 상태 및 위치를 수집하거나 설정할 수 있습니다. 이 업데이트에서는 이러한 속성에 대한 향상된 접근 제어를 제공하는 것으로 문제를 해결했습니다. 이 문제를 보고해 주신 Google Inc.의 Michal Zalewski 님께 감사드립니다.
Safari
CVE-ID: CVE-2007-3759
영향: Safari를 재시동할 때까지 JavaScript 비활성화가 적용되지 않음.
설명: JavaScript를 활성화 또는 비활성화하도록 Safari를 구성할 수 있습니다. 다음에 Safari를 재시동할 때까지 이 환경설정이 적용되지 않습니다. 이 문제는 일반적으로 iPhone를 재시동할 때 발생합니다. 이로 인해 사용자는 JavaScript가 비활성화되어 있지 않음에도 비활성화되었다고 잘못 생각할 수 있습니다. 이 업데이트에서는 새 웹 페이지를 로드하기 전에 새로운 환경설정을 적용하는 것으로 문제를 해결했습니다.
Safari
CVE-ID: CVE-2007-3760
영향: 악의적인 웹 사이트를 방문하면 크로스 사이트 스크립팅이 발생할 수 있음.
설명: Safari의 크로스 사이트 스크립팅 문제로 인해 'frame' 태그를 사용하여 악의적으로 제작된 웹 사이트에서 동일 출처 정책을 우회할 수 있습니다. 공격자는 사용자가 악의적으로 제작된 웹 페이지를 방문하도록 유인함으로써 문제를 트리거하여 다른 사이트 컨텍스트에서 JavaScript가 실행되게 할 수 있습니다. 이 업데이트에서는 JavaScript를 'iframe' 소스로 허용하지 않고 JavaScript의 frame 태그를 해당 JavaScript가 제공된 사이트와 동일한 접근으로 제한하는 것으로 문제를 해결했습니다. 이 문제를 보고해 주신 Google Inc.의 Michal Zalewski 님과 Secunia Research에 감사드립니다.
Safari
CVE-ID: CVE-2007-3761
영향: 악의적인 웹 사이트를 방문하면 크로스 사이트 스크립팅이 발생할 수 있음.
설명: Safari의 크로스 사이트 스크립팅 문제로 인해 JavaScript 이벤트가 잘못된 프레임과 연결될 수 있습니다. 공격자는 사용자가 악의적으로 제작된 웹 페이지를 방문하도록 유인하여 다른 사이트 컨텍스트에서 JavaScript가 실행되게 할 수 있습니다. 이 업데이트에서는 JavaScript 이벤트를 올바른 소스 프레임에 연결하는 것으로 문제를 해결했습니다.
Safari
CVE-ID: CVE-2007-4671
영향: 웹 사이트의 JavaScript가 HTTPS를 통해 제공되는 문서의 콘텐츠에 접근하거나 이를 조작할 수 있음.
설명: Safari의 문제로 인해 HTTP를 통해 제공되는 콘텐츠가 동일한 도메인의 HTTPS를 통해 제공되는 콘텐츠를 변경하거나 콘텐츠에 접근할 수 있습니다. 공격자는 사용자가 악의적으로 제작된 웹 페이지를 방문하도록 유인하여 해당 도메인의 HTTPS 웹 페이지 컨텍스트에서 JavaScript가 실행되게 할 수 있습니다. 이 업데이트에서는 HTTP 프레임과 HTTPS 프레임에서 실행되는 JavaScript 간의 접근을 제한하는 것으로 문제를 해결했습니다. 이 문제를 보고해 주신 LAC Co., Ltd.(Little eArth Corporation Co., Ltd.)의 Keigo Yamazaki 님께 감사드립니다.
설치 참고 사항:
이 업데이트는 iTunes를 통해서만 사용할 수 있으며 컴퓨터의 소프트웨어 업데이트 응용 프로그램 또는 Apple 다운로드 사이트에는 표시되지 않습니다. 인터넷에 연결되어 있는지 확인하고 www.apple.com/kr/itunes에서 최신 버전의 iTunes가 설치되어 있는지 확인합니다.
iTunes에서 주간 일정에 따라 Apple의 업데이트 서버를 자동으로 확인합니다. 업데이트가 감지되면 다운로드됩니다. iPhone이 도킹되면 iTunes에 사용자가 업데이트를 설치할 수 있는 옵션이 표시됩니다. 가능한 경우 업데이트를 즉시 적용하는 것이 좋습니다. '설치 안 함'을 선택하면 다음에 iPhone에 연결할 때 옵션이 표시됩니다.
자동 업데이트 절차는 iTunes에서 업데이트를 확인하는 날짜에 따라 최대 일주일이 걸릴 수 있습니다. iTunes의 '업데이트 확인' 버튼을 통해 수동으로 업데이트를 받을 수 있습니다. 그런 다음, iPhone이 컴퓨터에 도킹되어 있을 때 업데이트를 적용할 수 있습니다.
다음 단계에 따라 iPhone이 업데이트되었는지 확인합니다.
'설정'으로 이동하기
'일반' 클릭하기
'정보' 클릭하기. 이 업데이트를 적용한 후의 버전은 '1.1.1 (3A109a)'입니다.