OS X Yosemite v10.10.2 및 보안 업데이트 2015-001의 보안 콘텐츠에 관하여
이 문서에서는 OS X Yosemite v10.10.2 및 보안 업데이트 2015-001의 보안 콘텐츠에 대해 설명합니다.
Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.
Apple 제품 보안 PGP 키에 대한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.
가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.
다른 보안 업데이트에 대한 자세한 내용은 Apple 보안 업데이트를 참조하십시오.
OS X Yosemite v10.10.2 및 보안 업데이트 2015-001
AFP Server
대상: OS X Mavericks v10.9.5
영향: 원격 공격자가 시스템의 모든 네트워크 주소를 확인할 수 있음
설명: AFP 파일 서버에서 시스템의 네트워크 주소를 반환한 명령을 지원했습니다. 이 문제는 결과에서 주소를 제거하여 해결되었습니다.
CVE-ID
CVE-2014-4426: Tripwire VERT의 Craig Young
bash
대상: OS X Yosemite v10.10 및 v10.10.1
영향: 로컬 공격자의 임의 코드 실행을 허용할 수 있는 취약점을 포함하여 bash에서 여러 가지 취약점이 발생함
설명: bash에서 여러 가지 취약점이 발생했습니다. 이러한 문제는 bash를 패치 레벨 57로 업데이트하여 해결되었습니다.
CVE-ID
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
Bluetooth
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOBluetoothFamily에서 커널 메모리의 조작을 허용하는 정수 부호화 오류가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다. OS X Yosemite 시스템은 이 문제의 영향을 받지 않습니다.
CVE-ID
CVE-2014-4497
Bluetooth
대상: OS X Yosemite v10.10 및 v10.10.1
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: Bluetooth 드라이버에 악성 응용 프로그램이 커널 메모리에 대한 쓰기 크기 제어를 허용하는 문제가 발생했습니다. 이 문제는 추가 입력 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-8836: Google Project Zero의 Ian Beer
Bluetooth
대상: OS X Yosemite v10.10 및 v10.10.1
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: Bluetooth 드라이버에 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드 실행을 허용하는 여러 가지 보안 문제가 발생했습니다. 이 문제는 추가 입력 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-8837: Emaze Networks의 Roberto Paleari 및 Aristide Fattori
CFNetwork Cache
대상: OS X Yosemite v10.10 및 v10.10.1
영향: 개인정보 보호 브라우징을 끝내도 웹 사이트 캐시가 완전히 지워지지 않을 수 있음
설명: 개인정보 보호 브라우징을 끝내도 브라우징 데이터가 캐시에 남아 있을 수 있는 개인정보 보호 문제가 발생했습니다. 이 문제는 캐싱 동작을 변경하여 해결되었습니다.
CVE-ID
CVE-2014-4460
CoreGraphics
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 악의적으로 제작된 PDF 파일을 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: PDF 파일을 처리할 때 정수 오버플로우가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-4481: iSIGHT Partners GVP Program을 통해 Binamuse VRT의 Felipe Andres Manzano
CPU Software
대상: OS X Yosemite v10.10 및 v10.10.1, MacBook Pro Retina, MacBook Air(2013년 중반 모델 및 이후 모델), iMac(2013년 후반 모델 및 이후 모델), Mac Pro(2013년 후반 모델)
영향: 악성 Thunderbolt 기기가 펌웨어 플래싱에 영향을 줄 수 있음
설명: Thunderbolt 기기가 EFI 업데이트 중에 연결된 경우 호스트 펌웨어를 수정할 수 있습니다. 이 문제는 업데이트 중에 옵션 ROM을 로드하지 않음으로써 해결되었습니다.
CVE-ID
CVE-2014-4498: Two Sigma Investments의 Trammell Hudson
CommerceKit Framework
대상: OS X Yosemite v10.10 및 v10.10.1
영향: 시스템에 접근할 수 있는 공격자가 Apple ID 자격 증명을 복구할 수 있음
설명: App Store 로그를 처리할 때 문제가 발생했습니다. 추가 로그 기록이 활성화된 경우 App Store 프로세스에서 Apple ID 자격 증명을 로그에 기록할 수 있습니다. 이 문제는 자격 증명의 기록을 허용하지 않아 해결되었습니다.
CVE-ID
CVE-2014-4499: Sten Petersen
CoreGraphics
대상: OS X Yosemite v10.10 및 v10.10.1
영향: 비보안 텍스트 입력 및 마우스 이벤트를 사용하는 일부 타사 응용 프로그램에서 그러한 이벤트를 기록할 수 있음
설명: 초기화되지 않은 변수와 응용 프로그램의 사용자 설정 할당자의 조합으로 인해 비보안 텍스트 입력 및 마우스 이벤트가 기록되었을 수 있습니다. 이 문제는 기본적으로 로그 기록을 끄도록 하여 해결되었습니다. OS X Yosemite 이전 버전이 설치된 시스템은 이 문제의 영향을 받지 않았습니다.
CVE-ID
CVE-2014-1595: Kent Howard와 협력 중인 Mozilla의 Steven Michaud
CoreGraphics
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
영향: 악의적으로 제작된 PDF 파일을 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: PDF 파일을 처리할 때 메모리 손상 문제가 발생했습니다. 이 문제는 향상된 경계 확인을 통해 해결되었습니다. OS X Yosemite 시스템은 이 문제의 영향을 받지 않습니다.
CVE-ID
CVE-2014-8816: Digital Operatives LLC의 Mike Myers
CoreSymbolication
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: coresymbolicationd에서 XPC 메시지를 처리할 때 여러 가지 유형 혼동 문제가 발생했습니다. 이 문제는 향상된 유형 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-8817: Google Project Zero의 Ian Beer
FontParser
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 악의적으로 제작된 .dfont 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: .dfont 파일을 처리할 때 메모리 손상 문제가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-4484: HP의 Zero Day Initiative에 참여 중인 Gaurav Baruah
FontParser
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 악의적으로 제작된 PDF 파일을 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: 서체 파일을 처리할 때 버퍼 오버플로우가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-4483: Apple
Foundation
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 악의적으로 제작된 XML 파일을 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: XML Parser에 버퍼 오버플로우가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-4485: Apple
Intel Graphics Driver
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: Intel 그래픽 드라이버에서 여러 가지 취약점이 발생함
설명: Intel 그래픽 드라이버에서 여러 가지 취약점이 발생했으며, 이 중 가장 심각한 문제로 인해 시스템 권한을 사용하여 임의 코드가 실행될 수 있었습니다. 이 업데이트에서는 추가 범위 검사를 통해 문제가 해결되었습니다.
CVE-ID
CVE-2014-8819: Google Project Zero의 Ian Beer
CVE-2014-8820: Google Project Zero의 Ian Beer
CVE-2014-8821: Google Project Zero의 Ian Beer
IOAcceleratorFamily
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOAcceleratorFamily에서 특정 IOService userclient 유형을 처리할 때 Null 포인터 역참조가 발생했습니다. 이 문제는 IOAcceleratorFamily 컨텍스트에 대한 향상된 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-4486: Google Project Zero의 Ian Beer
IOHIDFamily
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOHIDFamily에 버퍼 오버플로우가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-4487: TaiG Jailbreak 팀
IOHIDFamily
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOHIDFamily에서 리소스 대기열 메타데이터를 처리할 때 유효성 확인 문제가 발생했습니다. 이 문제는 향상된 메타데이터 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-4488: Apple
IOHIDFamily
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOHIDFamily에서 이벤트 대기열을 처리할 때 Null 포인터 역참조가 발생했습니다. 이 문제는 IOHIDFamily 이벤트 대기열 초기화에 대한 향상된 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-4489: @beist
IOHIDFamily
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 악성 응용 프로그램 실행하면 커널 내에서 임의 코드가 실행될 수 있음
설명: IOHIDFamily 드라이버에서 제공한 사용자 클라이언트에 악성 응용 프로그램이 커널 주소 공간의 임의 부분을 덮어쓸 수 있는 범위 검사 문제가 발생했습니다. 이 문제는 취약한 사용자 클라이언트 메서드를 제거하여 해결되었습니다.
CVE-ID
CVE-2014-8822: HP의 Zero Day Initiative에 참여 중인 Vitaliy Toropov
IOKit
대상: OS X Yosemite v10.10 및 v10.10.1
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOKit 함수를 처리할 때 정수 오버플로우가 발생했습니다. 이 문제는 향상된 IOKit API 인수 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-4389: Google Project Zero의 Ian Beer
IOUSBFamily
대상: OS X Yosemite v10.10 및 v10.10.1
영향: 권한 있는 응용 프로그램이 커널 메모리에서 임의 데이터를 읽을 수 있음
설명: IOUSB 컨트롤러 사용자 클라이언트 기능을 처리할 때 메모리 접근 문제가 발생했습니다. 이 문제는 향상된 인수 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-8823: Google Project Zero의 Ian Beer
Kerberos
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: Kerberos libgssapi 라이브러리에서 댕글링 포인터가 있는 컨텍스트 토큰을 반환했습니다. 이 문제는 향상된 상태 관리를 통해 해결되었습니다.
CVE-ID
CVE-2014-5352
Kernel
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: 사용자 설정 캐시 모드를 지정하면 커널 읽기 전용 공유 메모리 세그먼트에 쓸 수 있습니다. 이 문제는 일부 사용자 설정 캐시 모드의 문제로 쓰기 권한을 부여하지 않도록 함으로써 해결되었습니다.
CVE-ID
CVE-2014-4495: Google Project Zero의 Ian Beer
Kernel
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IODataQueue 오브젝트의 특정 메타데이터 필드를 처리할 때 유효성 확인 문제가 발생했습니다. 이 문제는 향상된 메타데이터 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-8824: @PanguTeam
Kernel
대상: OS X Yosemite v10.10 및 v10.10.1
영향: 로컬 공격자가 커널에 디렉토리 서비스를 스푸핑하거나, 권한을 높이거나, 커널 실행 권한을 얻을 수 있음
설명: identitysvc에서 디렉토리 서비스 문제 해결 프로세스, 플래그 처리 및 오류 처리에 대한 유효성을 확인할 때 문제가 발생했습니다. 이 문제는 향상된 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-8825: CrowdStrike의 Alex Radocea
Kernel
대상: OS X Yosemite v10.10 및 v10.10.1
영향: 로컬 사용자가 커널 메모리 레이아웃을 확인할 수 있음
설명: 네트워크 통계 인터페이스에서 초기화되지 않은 여러 가지 메모리 문제가 발생하여 커널 메모리 콘텐츠가 공개되었습니다. 이 문제는 추가적인 메모리 초기화를 통해 해결되었습니다.
CVE-ID
CVE-2014-4371: Google Security Team의 Fermin J. Serna
CVE-2014-4419: Google Security Team의 Fermin J. Serna
CVE-2014-4420: Google Security Team의 Fermin J. Serna
CVE-2014-4421: Google Security Team의 Fermin J. Serna
Kernel
대상: OS X Mavericks v10.9.5
영향: 네트워크에서 권한 있는 위치에 있는 사람이 서비스 거부를 야기할 수 있음
설명: IPv6 패킷을 처리할 때 경합 상태 문제가 발생했습니다. 이 문제는 향상된 잠금 상태 확인을 통해 해결되었습니다.
CVE-ID
CVE-2011-2391
Kernel
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 악의적으로 제작되었거나 보안 침해된 응용 프로그램이 커널에서 주소를 파악할 수 있음
설명: 커널 확장 파일과 관련된 API를 처리할 때 정보 공개 문제가 발생했습니다. OSBundleMachOHeaders 키가 포함된 응답에 커널 주소가 포함되어 있어, ASLR(Address Space Layout Randomization) 보호가 우회될 수 있습니다. 이 문제는 주소가 반환되기 전에 주소를 언슬라이딩하여 해결되었습니다.
CVE-ID
CVE-2014-4491: @PanguTeam, Stefan Esser
Kernel
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOSharedDataQueue 대상체의 특정 메타데이터 필드를 처리할 때 유효성 확인 문제가 발생했습니다. 이 문제는 메타데이터 재배치를 통해 해결되었습니다.
CVE-ID
CVE-2014-4461: @PanguTeam
LaunchServices
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 악성 JAR 파일이 Gatekeeper 확인을 우회할 수 있음
설명: 응용 프로그램 실행을 처리할 때 특정 악성 JAR 파일이 Gatekeeper 확인을 우회할 수 있는 문제가 발생했습니다. 이 문제는 향상된 파일 유형 메타데이터 처리를 통해 해결되었습니다.
CVE-ID
CVE-2014-8826: Amplia Security의 Hernan Ochoa
libnetcore
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 샌드 박스가 적용된 악성 앱으로 인해 networkd 데몬에 보안 침해가 발생할 수 있음
설명: networkd에서 프로세스 간 통신을 처리할 때 여러 가지 유형 혼동 문제가 발생했습니다. 악의적으로 형식이 지정된 메시지를 networkd로 보내면 임의 코드가 networkd 프로세스로 실행될 수 있습니다. 이 문제는 추가 유형 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-4492: Google Project Zero의 Ian Beer
LoginWindow
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: Mac이 깨어나고 바로 잠기지 않을 수 있음
설명: 잠금 화면을 렌더링할 때 문제가 발생했습니다. 이 문제는 잠금 상태일 때 향상된 화면 렌더링을 통해 해결되었습니다.
CVE-ID
CVE-2014-8827: Mono의 Xavier Bertels 및 여러 OS X 시드 테스터
lukemftp
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 명령어 라인 ftp 도구를 사용하여 악의적인 http 서버에서 파일을 가져오면 임의 코드가 실행될 수 있음
설명: HTTP 리디렉션을 처리할 때 명령 삽입 문제가 발생했습니다. 이 문제는 향상된 특수 문자 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-8517
ntpd
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 암호화 인증이 활성화된 ntp 데몬을 사용하면 정보가 유출될 수 있음
설명: ntpd에 여러 입력 유효성 문제가 발생했습니다. 이 문제는 향상된 데이터 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-9297
OpenSSL
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: OpenSSL 0.9.8za에서 공격자가 라이브러리를 사용하여 응용 프로그램에서 취약한 암호 그룹을 사용하도록 연결을 다운그레이드할 수 있는 취약점을 포함하여 여러 가지 취약점이 발생함
설명: OpenSSL 0.9.8za에 여러 가지 취약점이 발생했습니다. 이러한 문제는 OpenSSL을 버전 0.9.8zc로 업데이트하여 해결되었습니다.
CVE-ID
CVE-2014-3566
CVE-2014-3567
CVE-2014-3568
Sandbox
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
영향: 샌드 박스가 적용된 프로세스에서 샌드 박스 제한을 우회할 수 있음
설명: 샌드 박스 프로파일을 캐싱할 때 샌드 박스가 적용된 응용 프로그램에서 캐시에 대한 쓰기 권한을 얻을 수 있는 디자인 문제가 발생했습니다. 이 문제는 'com.apple.sandbox' 세그먼트가 포함된 경로에 대한 접근 권한을 제한하여 해결되었습니다. OS X Yosemite v10.10 및 이후 버전은 이 문제의 영향을 받지 않습니다.
CVE-ID
CVE-2014-8828: Apple
SceneKit
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
영향: 악성 응용 프로그램이 사용자 정보 보안 침해를 야기할 수 있는 임의 코드를 실행할 수 있음
설명: SceneKit에서 범위를 벗어난 여러 가지 쓰기 문제가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-8829: Google Security Team의 Jose Duart
SceneKit
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 악의적으로 제작된 Collada 파일을 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: SceneKit에서 Collada 파일을 처리할 때 힙 버퍼 오버플로우가 발생했습니다. 악의적으로 제작된 Collada 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 접근자 요소에 대한 향상된 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-8830: Google Security Team의 Jose Duart
Security
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 파기된 개발자 ID 인증서로 서명된 다운로드한 인증서가 Gatekeeper 확인을 통과할 수 있음
설명: 캐시된 응용 프로그램 인증서 정보를 평가하는 방법에 문제가 발생했습니다. 이 문제는 캐시 로직을 개선하여 해결되었습니다.
CVE-ID
CVE-2014-8838: Apple
security_taskgate
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 앱이 다른 앱에 속한 키체인 항목에 접근할 수 있음
설명: 키체인에 접근 제어 문제가 발생했습니다. 자체 서명 인증서 또는 개발자 ID 인증서로 서명된 응용 프로그램에서 접근 제어 목록이 키체인 그룹을 기반으로 한 키체인 항목에 접근할 수 있습니다. 이 문제는 키체인 그룹에 접근 권한을 부여할 때 서명한 신원을 확인하여 해결되었습니다.
CVE-ID
CVE-2014-8831: Apple
Spotlight
대상: OS X Yosemite v10.10 및 v10.10.1
영향: 이메일 발신자가 수신자의 IP 주소를 확인할 수 있음
설명: Spotlight가 Mail의 '메시지의 원격 콘텐츠 로드' 설정 상태를 확인하지 않았습니다. 이 문제는 향상된 구성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-8839: John The New York Times의 Whitehead, LastFriday.no의 Frode Moe
Spotlight
대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: Spotlight가 예기치 않은 정보를 외장 하드 드라이브에 저장할 수 있음
설명: 인덱싱할 때 메모리 콘텐츠가 외장 하드 드라이브에 기록될 수도 있는 문제가 Spotlight에 발생했습니다. 이 문제는 향상된 메모리 관리를 통해 해결되었습니다.
CVE-ID
CVE-2014-8832: F-Secure
SpotlightIndex
대상: OS X Yosemite v10.10 및 v10.10.1
영향: Spotlight가 사용자에 속하지 않는 파일에 대한 결과를 표시할 수 있음
설명: Spotlight에서 권한 캐시를 처리할 때 역직렬화 문제가 발생했습니다. Spotlight 쿼리를 수행하는 사용자에게 권한이 충분하지 않아 읽을 수 없는 파일을 참조하는 검색 결과가 표시될 수 있습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-8833: Independent Technology Consultant의 David J Peacock
sysmond
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1
영향: 악성 응용 프로그램이 루트 권한을 사용하여 임의 코드를 실행할 수 있음
설명: sysmond에 로컬 응용 프로그램이 권한을 에스컬레이션할 수 있는 유형 혼동 취약점이 발생했습니다. 이 문제는 향상된 유형 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-8835: Google Project Zero의 Ian Beer
UserAccountUpdater
대상: OS X Yosemite v10.10 및 v10.10.1
영향: 프린트 관련 환경설정 파일에 PDF 문서에 대한 민감한 정보가 포함될 수 있음
설명: OS X Yosemite v10.10은 프린트 대화상자에서 생성된 암호로 보호된 PDF 파일을 처리할 때 프린트 환경설정 파일에 암호가 포함될 수 있는 문제를 해결했습니다. 이 업데이트에서는 프린트 환경설정 파일에 있을 수 있는 그러한 불필요한 정보가 제거되었습니다.
CVE-ID
CVE-2014-8834: Apple
참고: OS X Yosemite 10.10.2에는 Safari 8.0.3의 보안 콘텐츠가 포함되어 있습니다.
Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능 및 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 자세한 내용은 해당 업체에 문의하시기 바랍니다.