OS X Yosemite v10.10.4 및 보안 업데이트 2015-005의 보안 콘텐츠에 관하여

이 문서에서는 OS X Yosemite v10.10.4 및 보안 업데이트 2015-005의 보안 콘텐츠에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대해 자세히 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 대한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대해 알아보려면 Apple 보안 업데이트를 참조하십시오.

OS X Yosemite v10.10.4 및 보안 업데이트 2015-005

  • Admin Framework

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 프로세스가 적절한 인증 없이 관리자 권한을 얻을 수 있음

    설명: XPC 자격을 확인할 때 문제가 발생했습니다. 이 문제는 향상된 자격 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3671: TrueSec의 Emil Kvarnhammar

  • Admin Framework

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 관리자가 아닌 사용자가 관리자 권한을 얻을 수 있음

    설명: 사용자 인증을 처리할 때 문제가 발생했습니다. 이 문제는 향상된 오류 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3672: TrueSec의 Emil Kvarnhammar

  • Admin Framework

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 공격자가 루트 권한을 얻기 위해 디렉토리 유틸리티를 남용할 수 있음

    설명: 디렉토리 유틸리티가 권한이 부여된 프로세스 내에서 코드를 실행하기 위해 이동 및 수정될 수 있었습니다. 이 문제는 writeconfig 클라이언트가 실행될 수 있는 디스크 위치를 제한하여 해결되었습니다.

    CVE-ID

    CVE-2015-3673: Synack의 Patrick Wardle, TrueSec의 Emil Kvarnhammar

  • afpserver

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 원격 공격자가 응용 프로그램을 예기치 않게 종료하거나 임의 코드를 실행할 수 있음

    설명: AFP 서버에 메모리 손상 문제가 발생했습니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3674: NCC Group의 Dean Jerkovich

  • apache

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 공격자가 올바른 자격 증명을 모른 채 HTTP 인증으로 보호되는 디렉토리에 접근할 수 있음

    설명: 기본 Apache 구성에는 mod_hfs_apple이 포함되어 있지 않았습니다. Apache를 수동으로 활성화하고 구성을 변경하지 않은 경우 접근할 수 없어야 하는 일부 파일에 특별히 제작된 URL을 사용하여 접근할 수 있게 된 것일 수 있습니다. 이 문제는 mod_hfs_apple을 활성화하여 해결되었습니다.

    CVE-ID

    CVE-2015-3675: Apple

  • apache

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: PHP에서 여러 가지 취약점이 발생했으며, 이 중 가장 심각한 문제로 인해 임의 코드가 실행될 수 있음

    설명: 5.5.24 및 5.4.40 이전 버전의 PHP에서 여러 가지 취약점이 발생했습니다. 이러한 취약점은 PHP를 5.5.24 및 5.4.40 버전으로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2015-0235

    CVE-2015-0273

  • AppleGraphicsControl

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 커널 메모리 레이아웃을 확인할 수 있음

    설명: AppleGraphicsControl에 커널 메모리 레이아웃 공개로 이어질 수 있는 문제가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3676: KEEN Team의 Chen Liang

  • AppleFSCompression

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 커널 메모리 레이아웃을 확인할 수 있음

    설명: LZVN 압축에 커널 메모리 콘텐츠 공개로 이어질 수 있는 문제가 발생했습니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3677: HP의 Zero Day Initiative에 참여 중인 익명의 연구원

  • AppleThunderboltEDMService

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 로컬 프로세스의 특정 Thunderbolt 명령을 처리할 때 메모리 손상 문제가 발생했습니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3678: Apple

  • ATS

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악의적으로 제작된 서체 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 특정 서체를 처리할 때 여러 가지 메모리 손상 문제가 발생했습니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3679: HP의 Zero Day Initiative에 참여 중인 Pawel Wylecial

    CVE-2015-3680: HP의 Zero Day Initiative에 참여 중인 Pawel Wylecial

    CVE-2015-3681: John Villamil(@day6reak), Yahoo Pentest Team

    CVE-2015-3682: 魏诺德

  • Bluetooth

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: Bluetooth HCI 인터페이스에 메모리 손상 문제가 발생했습니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3683: Emaze Networks의 Roberto Paleari 및 Aristide Fattori

  • Certificate Trust Policy

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 네트워크에서 권한 있는 위치에 있는 공격자가 네트워크 트래픽을 가로챌 수 있음

    설명: 인증 기관 CNNIC에 의해 중간 인증서가 잘못 발급되었습니다. 이 문제는 잘못 발행된 중간 인증서 이전에 발행된 인증서의 서브셋만 신뢰하는 메커니즘을 추가하여 해결되었습니다. 보안 부분 신뢰 허용 목록에 대한 자세한 내용을 알아보십시오.

  • Certificate Trust Policy

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    설명: 인증서 신뢰 정책이 업데이트되었습니다. 인증서의 전체 목록은 OS X 인증서 보관함에서 확인할 수 있습니다.

  • CFNetwork HTTPAuthentication

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악의적으로 제작된 URL을 따라 이동하면 임의 코드가 실행될 수 있음

    설명: 특정 URL 자격 증명을 처리할 때 메모리 손상 문제가 발생했습니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3684: Apple

  • CoreText

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악의적으로 제작된 텍스트 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 텍스트 파일을 처리할 때 여러 가지 메모리 손상 문제가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil(@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil(@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil(@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 네트워크에서 권한 있는 위치에 있는 공격자가 SSL/TLS 연결을 가로챌 수 있음

    설명: coreTLS가 수출용 수준의 일회성 DH(Diffie-Hellman) 암호화 모음에 사용된 키와 같이 길이가 짧은 일회성 DH 키를 수락했습니다. Logjam이라고도 알려진 이 문제로 인해, 서버에서 수출용 수준 일회성 DH 암호화 모음이 지원되는 경우 네트워크에서 권한 있는 위치에 있는 공격자가 보안을 512비트 DH로 다운그레이드할 수 있었습니다. 이 문제는 DH 일회성 키에 허용되는 기본 최소 크기를 768비트로 늘려서 해결되었습니다.

    CVE-ID

    CVE-2015-4000: weakdh.org의 weakdh 팀, Hanno Boeck

  • DiskImages

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 커널 메모리 레이아웃을 확인할 수 있음

    설명: 디스크 이미지를 처리할 때 정보 공개 문제가 발생했습니다. 이 문제는 향상된 메모리 관리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3690: HP의 Zero Day Initiative에 참여 중인 Peter Rutenbar

  • Display Drivers

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: userland 프로세스에서 커널 내의 함수 포인터 값을 제어할 수 있는 모니터 제어 명령 세트 커널 확장 파일에 문제가 발생했습니다. 이 문제는 영향을 받는 인터페이스를 제거하여 해결되었습니다.

    CVE-ID

    CVE-2015-3691: Emaze Networks의 Roberto Paleari 및 Aristide Fattori

  • EFI

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 루트 권한을 가진 악성 응용 프로그램이 EFI 플래시 메모리를 수정할 수 있음

    설명: 잠자기 상태에서 재개할 때 EFI 플래시가 충분히 잠기지 않는 문제가 발생했습니다. 이 문제는 향상된 잠금을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3692: Two Sigma Investments의 Trammell Hudson, LegbaCore LLC의 Xeno Kovah 및 Corey Kallenberg, Pedro Vilaça

  • EFI

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 메모리를 손상시켜 권한을 에스컬레이션할 수 있음

    설명: 메모리 손상으로 이어질 수 있는 일부 DDR3 RAM에 Rowhammer라고도 하는 방해 오류가 발생했습니다. 이 문제는 메모리 재생률을 늘려 완화되었습니다.

    CVE-ID

    CVE-2015-3693: Google의 Mark Seaborn 및 Thomas Dullien(Yoongu Kim 등의 원 연구(2014)에 기초)

  • FontParser

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악의적으로 제작된 서체 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 서체 파일을 처리할 때 메모리 손상 문제가 발생했습니다. 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3694: John Villamil(@day6reak), Yahoo Pentest Team

  • Graphics Driver

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: NVIDIA 그래픽 드라이버에서 범위를 벗어난 쓰기 문제가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3712: Google Project Zero의 Ian Beer

  • Intel Graphics Driver

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: Intel 그래픽 드라이버에 여러 가지 버퍼 오버플로우 문제가 발생하고, 이 중 가장 심각한 문제로 인해 시스템 권한을 사용하여 임의 코드가 실행될 수 있음

    설명: Intel 그래픽 드라이버에 여러 가지 버퍼 오버플로우 문제가 발생했습니다. 이러한 문제는 추가 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3695: Google Project Zero의 Ian Beer

    CVE-2015-3696: Google Project Zero의 Ian Beer

    CVE-2015-3697: Google Project Zero의 Ian Beer

    CVE-2015-3698: Google Project Zero의 Ian Beer

    CVE-2015-3699: Google Project Zero의 Ian Beer

    CVE-2015-3700: Google Project Zero의 Ian Beer

    CVE-2015-3701: Google Project Zero의 Ian Beer

    CVE-2015-3702: KEEN Team

  • ImageIO

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: libtiff에 여러 가지 취약점이 있으며, 이 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있음

    설명: 4.0.4 이전 버전의 libtiff에 여러 가지 취약점이 있었으며, 그러한 취약점은 libtiff 버전을 4.0.4로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • ImageIO

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악의적으로 제작된 .tiff 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: .tiff 파일을 처리할 때 메모리 손상 문제가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3703: Apple

  • Install Framework Legacy

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: Install.framework의 'runner' setuid 바이너리가 권한을 드롭하는 방식에 여러 가지 문제가 발생했습니다. 이 문제는 권한을 적절하게 드롭하여 해결되었습니다.

    CVE-ID

    CVE-2015-3704: Google Project Zero의 Ian Beer

  • IOAcceleratorFamily

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: IOAcceleratorFamily에 여러 가지 메모리 손상 문제가 발생했습니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3705: KEEN Team

    CVE-2015-3706: KEEN Team

  • IOFireWireFamily

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: FireWire 드라이버에 여러 가지 null 포인터 역참조 문제가 발생했습니다. 이러한 문제는 향상된 오류 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3707: Emaze Networks의 Roberto Paleari 및 Aristide Fattori

  • Kernel

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 커널 메모리 레이아웃을 확인할 수 있음

    설명: 커널 확장 파일과 관련된 API를 처리할 때 메모리 관리 문제가 발생하여 커널 메모리 레이아웃이 공개될 수 있는 문제가 있었습니다. 이 문제는 향상된 메모리 관리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3720: Stefan Esser

  • Kernel

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 커널 메모리 레이아웃을 확인할 수 있음

    설명: HFS 매개변수를 처리할 때 메모리 관리 문제가 발생하여 커널 메모리 레이아웃이 공개될 수 있는 문제가 있었습니다. 이 문제는 향상된 메모리 관리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3721: Google Project Zero의 Ian Beer

  • kext tools

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 임의 파일을 덮어쓸 수 있음

    설명: 새 파일을 만드는 동안 kextd가 심볼릭 링크를 따랐습니다. 이 문제는 향상된 심볼릭 링크 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3708: Google Project Zero의 Ian Beer

  • kext tools

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 로컬 사용자가 서명되지 않은 커널 확장 파일을 로드할 수 있음

    설명: 커널 확장 파일의 경로에 대해 유효성을 검사하는 동안 TOCTOU(time-of-check time-of-use) 경합 상태가 발생했습니다. 이 문제는 커널 확장 파일의 경로 유효성 검사를 개선하여 해결되었습니다.

    CVE-ID

    CVE-2015-3709: Google Project Zero의 Ian Beer

  • Mail

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악의적으로 제작된 이메일로 인해 메시지를 볼 때 메시지 내용이 임의의 웹 페이지로 바뀔 수 있음

    설명: HTML 이메일 지원에서 임의의 웹 페이지로 메시지 콘텐츠를 새로 고칠 수 있는 문제가 발생했습니다. 이 문제는 HTML 콘텐츠의 제한적 지원을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3710: vtty.com의 Aaron Sigel, Jan Souček

  • ntfs

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 커널 메모리 레이아웃을 확인할 수 있음

    설명: NTFS에 커널 메모리 콘텐츠 공개로 이어질 수 있는 문제가 발생했습니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3711: HP의 Zero Day Initiative에 참여 중인 Peter Rutenbar

  • ntp

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 권한 있는 위치에 있는 공격자가 두 개의 ntp 클라이언트에 서비스 거부 공격을 수행할 수 있음

    설명: 구성된 엔드포인트에서 수신하는 ntp 패킷의 인증에 여러 가지 문제가 발생했습니다. 이러한 문제는 향상된 연결 상태 관리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-1798

    CVE-2015-1799

  • OpenSSL

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 공격자가 수출용 등급의 암호화를 지원하는 서버에 대한 연결을 가로챌 수 있는 문제를 포함하여 OpenSSL에 여러 가지 문제가 있음

    설명: OpenSSL 0.9.8zd에 여러 가지 문제가 발생했습니다. 이러한 문제는 OpenSSL의 버전을 0.9.8zf로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2015-0209

    CVE-2015-0286

    CVE-2015-0287

    CVE-2015-0288

    CVE-2015-0289

    CVE-2015-0293

  • QuickTime

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악의적으로 제작된 동영상 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QuickTime에 여러 가지 메모리 손상 문제가 발생했습니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3661: HP의 Zero Day Initiative에 참여 중인 G. Geshev

    CVE-2015-3662: HP의 Zero Day Initiative에 참여 중인 kdot

    CVE-2015-3663: HP의 Zero Day Initiative에 참여 중인 kdot

    CVE-2015-3666: HP의 Zero Day Initiative에 참여 중인 Source Incite의 Steven Seeley

    CVE-2015-3667: Cisco Talos의 Ryan Pentney, Richard Johnson 및 Fortinet 산하 FortiGuard Labs의 Kai Lu

    CVE-2015-3668: Fortinet 산하 FortiGuard Labs의 Kai Lu

    CVE-2015-3713: Apple

  • Security

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 원격 공격자가 응용 프로그램을 예기치 않게 종료하거나 임의 코드를 실행할 수 있음

    설명: S/MIME 이메일 및 서명되거나 암호화된 일부 다른 대상체를 구문 분석하기 위한 Security 프레임워크 코드에 정수 오버플로우가 발생했습니다. 이 문제는 향상된 유효성 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-1741

  • Security

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 변조된 응용 프로그램을 실행하지 못할 수 있음

    설명: 사용자 설정 리소스 규칙을 사용하는 앱이 서명을 무효화하지 않았을 변조에 취약할 수 있습니다. 이 문제는 향상된 리소스 유효성 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3714: Leviathan Security Group의 Joshua Pitts

  • Security

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 코드 서명 확인을 우회할 수 있음

    설명: 코드 서명에 의해 응용 프로그램 번들 외부에 로드된 보관함이 확인되지 않는 문제가 발생했습니다. 이 문제는 향상된 번들 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3715: Synack의 Patrick Wardle

  • Spotlight

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: Spotlight로 악성 파일을 검색하면 명령 삽입 문제가 발생할 수 있음

    설명: 로컬 사진 보관함에 추가된 사진의 파일 이름을 처리할 때 명령 삽입 취약점이 발생했습니다. 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3716: Apple

  • SQLite

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 원격 공격자가 응용 프로그램을 예기치 않게 종료하거나 임의 코드를 실행할 수 있음

    설명: SQLite의 printf를 구현할 때 여러 가지 버퍼 오버플로우가 발생했습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3717: HP의 Zero Day Initiative에 참여 중인 Peter Rutenbar

  • SQLite

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악의적으로 제작된 SQL 명령이 응용 프로그램을 예기치 않게 종료하거나 임의 코드를 실행할 수 있음

    설명: SQLite 기능에 API 문제가 발생했습니다. 이 문제는 향상된 제한을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7036: HP의 Zero Day Initiative에 참여 중인 Peter Rutenbar

  • System Stats

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 앱이 systemstatsd를 손상시킬 수 있음

    설명: systemstatsd에서 프로세스 간 통신을 처리할 때 유형 혼동 문제가 발생했습니다. 악의적으로 형식이 지정된 메시지를 systemstatsd로 전송하여 임의 코드를 systemstatsd 프로세스로 실행할 수 있습니다. 이 문제는 추가 형식 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3718: Emaze Networks의 Roberto Paleari 및 Aristide Fattori

  • TrueTypeScaler

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악의적으로 제작된 서체 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 서체 파일을 처리할 때 메모리 손상 문제가 발생했습니다. 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3719: John Villamil(@day6reak), Yahoo Pentest Team

  • zip

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악의적으로 제작된 zip 파일을 추출하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: zip 파일을 처리할 때 여러 가지 메모리 손상 문제가 발생했습니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-8139

    CVE-2014-8140

    CVE-2014-8141

OS X Yosemite v10.10.4에는 Safari 8.0.7의 보안 콘텐츠가 포함되어 있습니다.

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능 및 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 자세한 내용은 해당 업체에 문의하시기 바랍니다.

게시일: