OS X El Capitan 10.11.2의 보안 콘텐츠, 보안 업데이트 2015-005 Yosemite 및 보안 업데이트 2015-008 Mavericks에 관하여

이 문서에서는 OS X El Capitan 10.11.2의 보안 콘텐츠, 보안 업데이트 2015-005 Yosemite 및 보안 업데이트 2015-008 Mavericks에 대해 설명 합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대해 자세히 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 대한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대해 알아보려면 Apple 보안 업데이트를 참조하십시오.

OS X El Capitan 10.11.2, 보안 업데이트 2015-005 Yosemite 및 보안 업데이트 2015-008 Mavericks

  • apache_mod_php

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: PHP에 여러 가지 취약점이 존재함

    설명: PHP 5.5.29 이전 버전에서 여러 가지 취약점이 존재하며 그 중 가장 심각한 취약점으로 인해 원격 코드가 실행될 수 있습니다. 이 문제는 PHP를 5.5.30 버전으로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2015-7803

    CVE-2015-7804

  • AppSandbox

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 연락처에 대한 접근이 취소된 후에도 악성 응용 프로그램이 연락처에 접근할 수 있음

    설명: 샌드 박스에서 하드 링크를 처리할 때 문제가 발생합니다. 이 문제는 향상된 앱 샌드 박스 보강을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7001: University POLITEHNICA of Bucharest의 Razvan Deaconescu 및 Mihai Bucicoiu, North Carolina State University의 Luke Deshotels 및 William Enck, TU Darmstadt의 Lucas Vincenzo Davi 및 Ahmad-Reza Sadeghi

  • Bluetooth

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: Bluetooth HCI 인터페이스에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7108: Google Project Zero의 Ian Beer

  • CFNetwork HTTPProtocol

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 네트워크 권한이 있는 공격자가 HSTS를 우회할 수 있음

    설명: URL 처리 내에서 입력 검증 문제가 발생합니다. 이 문제는 향상된 URL 검증을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7094: Gehirn Inc.의 Tsubasa Iinuma(@llamakko_cafe) 및 Muneaki Nishimura(nishimunea)

  • 압축

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 임의 코드가 실행될 수 있음

    설명: zlib에서 초기화되지 않은 메모리 접근 문제가 발생합니다. 이 문제는 향상된 메모리 초기화 및 zlib 스트림에 대한 추가 검증을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7054: j00ru

  • 구성 프로파일

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 로컬 공격자가 관리자 권한 없이 구성 프로파일을 설치할 수 있음

    설명: 구성 프로파일을 설치할 때 문제가 발생합니다. 이 문제는 향상된 인증 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7062: Dell Software의 David Mulder

  • CoreGraphics

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 및 v10.11.1

    영향: 악의적으로 제작된 서체 파일을 처리하는 경우 임의 코드가 실행될 수 있음

    설명: 서체 파일을 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 입력 검증을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7105: John Villamil(@day6reak), Yahoo Pentest 팀

  • CoreMedia 재생

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 및 v10.11.1

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 임의 코드가 실행될 수 있음

    설명: 잘못된 형식의 미디어 파일을 처리할 때 여러 가지 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7074: Apple

    CVE-2015-7075

  • 디스크 이미지

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 로컬 사용자가 커널 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 디스크 이미지를 구문 분석할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7110: Google Project Zero의 Ian Beer

  • EFI

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 커널 로더에서 경로 검증 문제가 발생합니다. 이 문제는 향상된 환경 삭제 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7063: Apple

  • 파일 책갈피

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 샌드박스가 적용된 프로세스에서 샌드박스 제한 사항을 우회할 수 있음

    설명: 앱 범위 책갈피에서 경로 검증 문제가 발생합니다. 이 문제는 향상된 환경 삭제 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7071: Apple

  • 하이퍼바이저

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: VM 대상체를 처리할 때 use-after-free 문제가 발생합니다. 이 문제는 향상된 메모리 관리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7078: Google Project Zero의 Ian Beer

  • iBooks

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 악의적으로 제작된 iBooks 파일을 구문 분석하는 경우 사용자 정보가 공개될 수 있음

    설명: iBooks를 구문 분석할 때 XML 외부 개체 참조 문제가 발생합니다. 이 문제는 향상된 구문 분석을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7081: Behrouz Sadeghipour(@Nahamsec) 및 Patrik Fehrenbach(@ITSecurityguard)

  • ImageIO

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 및 v10.11.1

    영향: 악의적으로 제작된 이미지를 처리하는 경우 임의 코드가 실행될 수 있음

    설명: ImageIO에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7053: Apple

  • Intel 그래픽 드라이버

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 향상된 입력 검증을 통해 null 포인터 역참조 문제가 해결되었습니다.

    CVE-ID

    CVE-2015-7076: TrendMicro의 Juwei Lin, BoB의 beist 및 ABH, JeongHoon Shin@A.D.D

  • Intel 그래픽 드라이버

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: Intel 그래픽 드라이버에 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7106: Google Project Zero의 Ian Beer, TrendMicro의 Juwei Lin, BoB의 beist 및 ABH, JeongHoon Shin@A.D.D

  • Intel 그래픽 드라이버

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: Intel 그래픽 드라이버에 out-of-bounds 메모리 접근 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7077: Google Project Zero의 Ian Beer

  • IOAcceleratorFamily

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: IOAcceleratorFamily에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7109: TrendMicro의 Juwei Lin

  • IOHIDFamily

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: IOHIDFamily API에서 여러 가지 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7111: BoB의 beist 및 ABH

    CVE-2015-7112: Google Project Zero의 Ian Beer

  • IOKit SCSI

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 악성 응용 프로그램이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 특정 userclient 유형을 처리할 때 null 포인터 역참조가 발생합니다. 이 문제는 향상된 검증을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7068: Google Project Zero의 Ian Beer

  • IOThunderboltFamily

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 로컬 사용자가 시스템 서비스 거부를 일으킬 수 있음

    설명: IOThunderboltFamily에서 특정 userclient 유형을 처리할 때 null 포인터 역참조가 발생합니다. 이 문제는 IOThunderboltFamily 컨텍스트에 대한 향상된 검증을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7067: TrendMicro의 Juwei Lin

  • 커널

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 로컬 응용 프로그램이 서비스 거부를 일으킬 수 있음

    설명: 향상된 메모리 처리를 통해 여러 가지 서비스 거부 문제가 해결되었습니다.

    CVE-ID

    CVE-2015-7040: Qihoo 360 Vulcan 팀의 Lufeng Li

    CVE-2015-7041: Qihoo 360 Vulcan 팀의 Lufeng Li

    CVE-2015-7042: Qihoo 360 Vulcan 팀의 Lufeng Li

    CVE-2015-7043: Tarjei Mandt(@kernelpool)

  • 커널

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 로컬 사용자가 커널 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 커널에서 여러 가지 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7083: Google Project Zero의 Ian Beer

    CVE-2015-7084: Google Project Zero의 Ian Beer

  • 커널

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 로컬 사용자가 커널 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: Mach 메시지를 구문 분석할 때 문제가 발생합니다. 이 문제는 향상된 Mach 메시지 검증을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7047: Google Project Zero의 Ian Beer

  • kext 도구

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 로컬 사용자가 커널 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 커널 확장을 로드하는 중에 검증 문제가 발생합니다. 이 문제는 추가 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7052: Apple

  • 키체인 접근

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 악성 응용 프로그램이 키체인 서버로 위장할 수 있습니다.

    설명: 키체인 접근이 키체인 에이전트와 상호 작용하는 방식에서 문제가 발생합니다. 이 문제는 기존 기능을 제거하여 해결되었습니다.

    CVE-ID

    CVE-2015-7045: Indiana University Bloomington의 Luyi Xing 및 XiaoFeng Wang, Indiana University Bloomington 및 Tsinghua University의 Xiaolong Bai, Peking University의 Tongxin Li, Indiana University Bloomington 및 Institute of Information Engineering의 Kai Chen, Georgia Institute of Technology의 Xiaojing Liao, Tsinghua University의 Shi-Min Hu, Peking University의 Xinhui Han

  • libarchive

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 및 v10.11.1

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 임의 코드가 실행될 수 있음

    설명: 아카이브를 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2011-2895: @practicalswift

  • libc

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 악의적으로 제작된 패키지를 처리하는 경우 임의 코드가 실행될 수 있음

    설명: C 표준 라이브러리에서 여러 가지 버퍼 오버플로우가 발생합니다. 이 문제는 향상된 경계 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7038: E. W. Scripps의 Brian D. Wells, Symantec Corporation/Veritas LLC의 Narayan Subramanian

    • CVE-2015-7039: Maksymilian Arciemowicz(CXSECURITY.COM)

      2017년 3월 3일에 업데이트된 항목

  • libexpat

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: expat에서 여러 가지 취약점이 발생함

    설명: expat 2.1.0 이전 버전에서 여러 가지 취약점이 발생합니다. 이 문제는 expat를 2.1.0 버전으로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2012-0876: Vincent Danen

    CVE-2012-1147: Kurt Seifried

    CVE-2012-1148: Kurt Seifried

  • libxml2

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 및 v10.11.1

    영향: 악의적으로 제작된 XML 문서를 구문 분석하는 경우 사용자 정보가 공개될 수 있음

    설명: XML 파일을 구문 분석할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7115: Nanyang Technological University의 Wei Lei 및 Liu Yang

    CVE-2015-7116: Nanyang Technological University의 Wei Lei 및 Liu Yang

  • OpenGL

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 및 v10.11.1

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 임의 코드가 실행될 수 있음

    설명: OpenGL에서 여러 가지 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7064: Apple

    CVE-2015-7065: Apple

    CVE-2015-7066: Palo Alto Networks의 Tongbo Luo 및 Bo Qu

  • OpenLDAP

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 인증되지 않은 원격 클라이언트가 서비스 거부를 일으킬 수 있음

    설명: OpenLDAP에서 입력 검증 문제가 발생합니다. 이 문제는 향상된 입력 검증을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-6908

  • OpenSSH

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: LibreSSL에서 여러 가지 취약점이 발생함

    설명: LibreSSL 2.1.8 이전 버전에서 여러 가지 취약점이 발생합니다. 이 문제는 LibreSSL을 2.1.8 버전으로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2015-5333

    CVE-2015-5334

  • QuickLook

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 및 v10.11.1

    영향: 악의적으로 제작된 iWork 파일을 여는 경우 임의 코드가 실행될 수 있음

    설명: iWork 파일을 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7107

  • 샌드 박스

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 루트 권한을 가진 악성 응용 프로그램이 커널 ASLR(Address Space Layout Randomization) 기능을 우회할 수 있음

    설명: xnu에서 불충분한 권한 분리 문제가 발생합니다. 이 문제는 향상된 인증 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7046: Apple

  • 보안

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 원격 공격자로 인해 응용 프로그램이 예상치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: SSL 핸드쉐이크를 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7073: ZeroC, Inc.의 Benoit Foucher

  • 보안

    대상: OS X Mavericks v10.9.5 및 OS X Yosemite v10.10.5

    영향: 악의적으로 제작된 인증서를 처리하는 경우 임의 코드가 실행될 수 있음

    설명: ASN.1 디코더에서 여러 가지 메모리 손상 문제가 발생합니다. 이 문제는 향상된 입력 검증을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7059: Mozilla의 David Keeler

    CVE-2015-7060: Mozilla의 Tyson Smith

    CVE-2015-7061: Google의 Ryan Sleevi

  • 보안

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 및 v10.11.1

    영향: 악성 응용 프로그램에서 사용자의 키체인 항목에 접근할 수 있음

    설명: 키체인 항목의 접근 제어 목록을 검증할 때 문제가 발생합니다. 이 문제는 향상된 접근 제어 목록 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7058

  • 시스템 무결성 보호

    대상: OS X El Capitan v10.11 및 v10.11.1

    영향: 루트 권한을 가진 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 유니온 마운트를 처리할 때 권한 문제가 발생합니다. 이 문제는 향상된 인증 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7044: MacDefender

참고

  • 보안 업데이트 2015-005 및 2015-008은 모든 사용자에게 권장되며 OS X의 보안을 향상시킵니다. 이 업데이트를 설치하면 QuickTime 7 웹 브라우저 플러그인이 더 이상 기본으로 활성화되지 않습니다. 이 기존 플러그인을 계속 사용해야 하는 경우 수행할 작업에 대해 알아봅니다.

  • OS X El Capitan v10.11.2에는 Safari 9.0.2의 보안 콘텐츠가 포함되어 있습니다.

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능 및 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 자세한 내용은 해당 업체에 문의하시기 바랍니다.

게시일: