Xcode 4.4 버전의 보안 콘텐츠에 관하여

이 문서에서는 Xcode 4.4 버전의 보안 콘텐츠에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용을 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 참조할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.

Xcode 4.4

• neon

  대상: OS X Lion v10.7.4 이후

  영향: 공격자가 SSL로 보호되는 데이터의 암호를 해제할 수 있음

  설명: 일련의 암호가 CBC 모드에서 블록 암호를 사용할 때 SSL 3.0 및 TLS 1.0 버전의 기밀성을 침해하는 공격이 몇 가지 있습니다. Subversion에 사용되는 네온 라이브러리에서는 이러한 공격을 차단했던 '빈 프래그먼트' 보호 조치를 비활성화했습니다. 이 문제는 보호 조치를 활성화하면 해결됩니다.

  CVE-ID

  CVE-2011-3389

• Xcode

  대상: OS X Lion v10.7.4 이후

  영향: Xcode로 개발된 보조 응용 프로그램 도구에서 임의의 App Store 응용 프로그램이 키체인 항목을 읽도록 허용할 수 있음

  설명: 서명되는 모든 프로그램에는 이 프로그램의 인스턴스로 간주되기 위해 프로그램이 충족해야 하는 제한 사항을 프로그램 개발자의 관점에서 설명하는 DR(Designated Requirement)이 포함됩니다. 번들 ID가 없는 제품(예: 명령행 도구 또는 내장된 보조 응용 프로그램)에 개발자 ID와 Xcode를 사용하여 서명한 경우 생성된 제품 DR 중 App Store에서 서명되는 App에 적용되는 DR 부분에 해당 개발자 ID가 포함되지 않았습니다. 따라서 임의의 App Store App이 이 제품에서 생성된 키체인 항목에 접근했을 수 있습니다. 이 문제는 향상된 검사를 통해 DR을 생성하면 해결됩니다. 영향을 받는 제품을 이 Xcode 버전으로 재서명하여 향상된 DR을 포함시켜야 합니다.

  CVE-ID

  CVE-2012-3698