iOS 9의 보안 콘텐츠에 관하여
이 문서에서는 iOS 9의 보안 콘텐츠에 대해 설명합니다.
Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대해 자세히 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.
Apple 제품 보안 PGP 키에 대한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.
가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.
다른 보안 업데이트에 대해 알아보려면 Apple 보안 업데이트를 참조하십시오.
iOS 9
Apple Pay
대상: iPhone 6 및 iPhone 6 Plus
영향: 일부 카드로 결제 시 단말기에서 제한된 최근 거래 정보를 검색할 수 있음
설명: 특정 구성에서 거래 로그 기능이 활성화되어 있었습니다. 이 문제는 거래 로그 기능을 제거하여 해결되었습니다. 이 문제는 iPad 기기에는 영향을 미치지 않습니다.
CVE-ID
CVE-2015-5916
AppleKeyStore
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 공격자가 iOS를 백업하여 암호 시도 실패 횟수를 재설정할 수 있음
설명: iOS 기기를 백업하여 암호 시도 실패 횟수를 재설정할 때 문제가 발생합니다. 이 문제는 개선된 암호 실패 로직을 통해 해결되었습니다.
CVE-ID
CVE-2015-5850: 익명의 연구원
App Store
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 ITMS 링크를 클릭하면 엔터프라이즈 서명 응용 프로그램에서 서비스가 거부될 수 있음
설명: ITMS 링크를 통해 설치할 때 문제가 발생합니다. 이 문제는 추가 설치 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-5856: FireEye, Inc.의 Zhaofeng Chen, Hui Xue 및 Tao(Lenx) Wei
오디오
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 오디오 파일을 재생하면 응용 프로그램이 예기치 않게 종료될 수 있음
설명: 오디오 파일을 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5862: 대한민국 서울 연세대학교 Information Security Lab의 윤영진(자문:권태경 교수)
인증 신뢰 정책
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 인증서 신뢰 정책 업데이트
설명: 인증 신뢰 정책이 업데이트되었습니다. 인증서의 전체 목록은 https://support.apple.com/ko-kr/HT204132에서 확인할 수 있습니다.
CFNetwork
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 URL이 HSTS(HTTP Strict Transport Security)를 우회하여 민감한 데이터가 유출될 수 있음
설명: HSTS 처리 시 URL 분석 취약점이 발생합니다. 이 문제는 향상된 URL 분석을 통해 해결되었습니다.
CVE-ID
CVE-2015-5858: Tsinghua 대학교 Blue Lotus 팀의 Xiaofeng Zheng
CFNetwork
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: Safari 개인정보 보호 브라우징 모드에 있을 때 악성 웹 사이트에서 사용자를 추적할 수 있음
설명: Safari 개인정보 보호 브라우징 모드에서 HSTS 상태를 처리할 때 문제가 발생합니다. 이 문제는 향상된 상태 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5860: RadicalResearch Ltd의 Sam Greenhalgh
CFNetwork
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: iOS 기기에 물리적으로 접근할 수 있는 사람이 Apple 앱에서 캐시 데이터를 읽을 수 있음
설명: 캐시 데이터는 하드웨어 UID로만 보호되는 키를 사용하여 암호화되었습니다. 이 문제는 하드웨어 UID 및 사용자 암호로 보호되는 키로 캐시 데이터를 암호화하여 해결되었습니다.
CVE-ID
CVE-2015-5898: NESO Security Labs의 Andreas Kurtz
CFNetwork 쿠키
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 네트워크에서 권한 있는 위치에 있는 공격자가 사용자의 활동을 추적할 수 있음
설명: 최상위 도메인을 처리할 때 도메인 간 쿠키 문제가 발생합니다. 이 문제는 개선된 쿠키 생성 제한 사항을 통해 해결되었습니다.
CVE-ID
CVE-2015-5885: Tsinghua 대학교 Blue Lotus 팀의 Xiaofeng Zheng
CFNetwork 쿠키
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 공격자가 웹 사이트에 대해 의도하지 않은 쿠키를 생성할 수 있음
설명: WebKit에서 document.cookie API에 설정될 여러 쿠키를 승인합니다. 이 문제는 향상된 구문 분석을 통해 해결되었습니다.
CVE-ID
CVE-2015-3801: Facebook의 Erling Ellingsen
CFNetwork FTPProtocol
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 FTP 서버에서 클라이언트가 다른 호스트를 엿볼 수 있음
설명: PASV 명령 사용 시 FTP 패킷을 처리할 때 문제가 발생합니다. 이 문제는 향상된 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-5912: Amit Klein
CFNetwork HTTPProtocol
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 네트워크에서 권한 있는 위치에 있는 공격자가 네트워크 트래픽을 가로챌 수 있음
설명: Safari 개인정보 보호 브라우징 모드에서 HSTS 미리 로드 목록 항목을 처리할 때 문제가 발생합니다. 이 문제는 향상된 상태 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5859: University of Luxembourg의 Rosario Giustolisi
CFNetwork Proxies
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 웹 프록시에 연결하면 웹 사이트에 대해 악성 쿠키가 설정될 수 있음
설명: 프록시 연결 응답을 처리할 때 문제가 발생합니다. 이 문제는 연결 응답의 구문을 분석하는 동안 set-cookie 헤더를 제거하여 해결되었습니다.
CVE-ID
CVE-2015-5841: Tsinghua 대학교 Blue Lotus 팀의 Xiaofeng Zheng
CFNetwork SSL
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 네트워크에서 권한 있는 위치에 있는 공격자가 SSL/TLS 연결을 가로챌 수 있음
설명: 인증서 변경 시 NSURL에서 인증서 유효성 확인 문제가 발생합니다. 이 문제는 향상된 인증서 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-5824: Omni 그룹의 Timothy J. Wood
CFNetwork SSL
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 공격자가 SSL로 보호되는 데이터의 암호를 해제할 수 있습니다.
설명: RC4 기밀에 대해 알려진 공격이 있습니다. 서버가 더 강력한 암호를 선호하더라도 CFNetwork가 RC4만 허용하는 SSL 3.0을 사용할 때까지 공격자가 TLS 1.0 이상의 연결을 차단하여 RC4를 강제로 사용하게 할 수 있습니다. 이 문제는 SSL 3.0에 대한 폴백을 제거하여 해결되었습니다.
CoreAnimation
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 응용 프로그램이 중요한 사용자 정보를 유출할 수 있음
설명: 응용 프로그램이 백그라운드에서 실행되는 동안 화면 프레임 버퍼에 접근할 수 있습니다. 이 문제는 IOSurfaces에 대한 개선된 접근 제어를 통해 해결되었습니다.
CVE-ID
CVE-2015-5880: School of Information Systems Singapore Management University의 Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li와 Cryptography and Security Department Institute for Infocomm Research의 Feng Bao 및 Jianying Zhou
CoreCrypto
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 공격자가 비공개 키를 확인할 수 있음
설명: 공격자가 여러 번의 서명 또는 암호화 시도를 관찰하여 RSA 비공개 키를 확인할 수 있습니다. 이 문제는 개선된 암호화 알고리즘을 사용하여 해결되었습니다.
CoreText
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 서체 파일을 처리하면 임의 코드가 실행될 수 있음
설명: 서체 파일을 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-5874: John Villamil(@day6reak), Yahoo Pentest 팀
데이터 탐색기 엔진
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 텍스트 파일을 처리하면 임의 코드가 실행될 수 있음
설명: 텍스트 파일 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-5829: Safeye 팀(www.safeye.org)의 M1x7e1
개발 도구
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: dyld에서 메모리 손상 문제가 발생합니다. 이는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5876: grayhash의 beist
디스크 이미지
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: DiskImages에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 응용 프로그램에서 코드 서명이 우회될 수 있음
설명: 실행 파일의 코드 서명 유효성 확인 시 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-5839: @PanguTeam, TaiG Jailbreak 팀
Game Center
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 Game Center 응용 프로그램이 플레이어의 이메일 주소에 접근할 수 있음
설명: 플레이어의 이메일 처리 시 Game Center에서 문제가 발생합니다. 이 문제는 향상된 접근 제한을 통해 해결되었습니다.
CVE-ID
CVE-2015-5855: Nasser Alnasser
ICU
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: ICU의 여러 가지 취약점
설명: ICU 53.1.0 이전 버전에 여러 취약점이 있습니다. 이러한 문제는 ICU를 55.1 버전으로 업데이트하여 해결되었습니다.
CVE-ID
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Google Project Zero의 Mark Brand
IOAcceleratorFamily
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 응용 프로그램에게 커널 메모리 레이아웃이 노출될 수 있음
설명: 커널 메모리 콘텐츠가 공개되는 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-5834: Alibaba Mobile 보안 팀의 Cererdlong
IOAcceleratorFamily
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOAcceleratorFamily에서 메모리 손상 문제가 발생했으나 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOHIDFamily
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOHIDFamily에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5867: Trend Micro의 moony li
IOKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: 커널에서 메모리 손상 문제가 발생했으나 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOMobileFrameBuffer에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 공격자가 커널 메모리를 읽을 수 있음
설명: 커널에서 메모리 초기화 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5863: IOActive의 Ilja van Sprundel
iTunes Store
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로그아웃한 후에도 키체인에 Apple ID 자격 증명이 계속 남아 있을 수 있음
설명: 키체인 삭제 시 문제가 발생합니다. 이 문제는 향상된 계정 정리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5832: Check Point Software Technologies의 Kasif Dekel
JavaScriptCore
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 임의 코드가 실행될 수 있음
설명: WebKit에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5791: Apple
CVE-2015-5793: Apple
CVE-2015-5814: Apple
CVE-2015-5816: Apple
CVE-2015-5822: Google의 Mark S. Miller
CVE-2015-5823: Apple
커널
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 사용자가 커널 권한을 사용하여 임의 코드를 실행할 수 있음
설명: 커널에서 메모리 손상 문제가 발생했으나 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5868: Alibaba Mobile 보안 팀의 Cererdlong
CVE-2015-5896: m00nbsd의 Maxime Villard
CVE-2015-5903: CESG
2016년 12월 21일에 업데이트된 항목
커널
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 공격자가 스택 쿠키의 값을 제어할 수 있음
설명: 사용자 공간 스택 쿠키 생성 시 여러 가지 취약점이 발생합니다. 이 문제는 향상된 스택 쿠키 생성을 통해 해결되었습니다.
CVE-ID
CVE-2013-3951: Stefan Esser
커널
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 프로세스에서 자격을 확인하지 않고 다른 프로세스를 수정할 수 있음
설명: processor_set_tasks API를 사용하는 루트 프로세스에서 다른 프로세스의 작업 포트를 검색할 수 있는 문제가 발생합니다. 이 문제는 추가된 자격 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-5882: Ming-chieh Pan 및 Sung-ting Tsai의 독창적인 연구에 참여 중인 Pedro Vilaça, Jonathan Levin
커널
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 올바른 시퀀스 번호를 모르는 공격자가 대상 TCP 연결에 대한 서비스 거부 공격을 실행할 수 있음
설명: xnu에서 TCP 패킷 헤더의 유효성을 확인할 때 문제가 발생합니다. 이 문제는 TCP 패킷 헤더에 대한 향상된 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-5879: Jonathan Looney
커널
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 LAN 세그먼트의 공격자가 IPv6 라우팅을 비활성화할 수 있음
설명: IPv6 라우터 통지 처리 시 충분한 유효성 확인이 수행되지 않아 공격자가 임의의 값에 홉 제한을 설정할 수 있는 문제가 발생합니다. 이 문제는 최소 홉 제한을 강제로 적용하여 해결되었습니다.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
커널
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 사용자가 커널 메모리 레이아웃을 확인할 수 있음
설명: XNU에 커널 메모리가 공개되는 문제가 발생합니다. 이 문제는 커널 메모리 구조의 향상된 초기화를 통해 해결되었습니다.
CVE-ID
CVE-2015-5842: grayhash의 beist
커널
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 사용자가 시스템 서비스 거부를 야기할 수 있음
설명: HFS 드라이브를 마운트할 때 문제가 발생합니다. 이 문제는 추가 유효성 확인 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-5748: m00nbsd의 Maxime Villard
libc
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 원격 공격자가 임의 코드를 실행할 수 있음
설명: fflush 함수에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2014-8611: Norse Corporation의 Adrian Chadd 및 Alfred Perlstein
libpthread
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 사용자가 커널 권한을 사용하여 임의 코드를 실행할 수 있음
설명: 커널에서 메모리 손상 문제가 발생했으나 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5899: Qihoo 360 Vulcan 팀의 Lufeng Li
Mail
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 공격자가 받는 사람의 주소록에 있는 연락처로부터 발송된 것으로 보이는 이메일을 전송할 수 있음
설명: 보낸 사람의 주소를 처리할 때 문제가 발생합니다. 이 문제는 향상된 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-5857: salesforce.com의 Emre Saglam
멀티피어 연결
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 공격자가 보호되지 않는 멀티피어 데이터를 관찰할 수 있음
설명: 편의 초기화 처리 시 암호화가 암호화되지 않는 세션으로 능동적으로 다운그레이드될 수 있는 문제가 발생합니다. 이 문제는 암호화를 요구하도록 편의 초기화를 변경하여 해결되었습니다.
CVE-ID
CVE-2015-5851: Data Theorem의 Alban Diquet(@nabla_c0d3)
NetworkExtension
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 응용 프로그램에게 커널 메모리 레이아웃이 노출될 수 있음
설명: 커널 메모리 콘텐츠 공개로 인해 커널에서 메모리가 초기화되지 않는 문제가 발생합니다. 이 문제는 메모리 초기화를 통해 해결되었습니다.
CVE-ID
CVE-2015-5831: m00nbsd의 Maxime Villard
OpenSSL
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: OpenSSL에서 여러 가지 취약성이 발생함
설명: OpenSSL 0.9.8zg 이전 버전에서 여러 취약점이 발생합니다. 이는 OpenSSL을 버전 0.9.8zg로 업데이트하여 해결되었습니다.
CVE-ID
CVE-2015-0286
CVE-2015-0287
PluginKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 엔터프라이즈 응용 프로그램이 신뢰되기 전에 해당 응용 프로그램에서 확장 프로그램을 설치할 수 있음
설명: 설치 중 확장 프로그램의 유효성을 확인할 때 문제가 발생합니다. 이 문제는 향상된 앱 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-5837: FireEye, Inc.의 Zhaofeng Chen, Hui Xue 및 Tao(Lenx) Wei
removefile
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 데이터를 처리하면 응용 프로그램이 예기치 않게 종료될 수 있음
설명: checkint 분할 루틴에서 오버플로우 오류가 발생합니다. 이 문제는 향상된 분할 루틴을 통해 해결되었습니다.
CVE-ID
CVE-2015-5840: 익명의 연구원
Safari
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 사용자가 암호를 몰라도 잠겨 있는 iOS 기기에서 Safari 책갈피를 읽을 수 있음
설명: Safari 책갈피 데이터는 하드웨어 UID로만 보호되는 키를 사용하여 암호화되었습니다. 이 문제는 하드웨어 UID 및 사용자 암호로 보호되는 키로 Safari 책갈피 데이터를 암호화하여 해결되었습니다.
CVE-ID
CVE-2015-7118: Jonathan Zdziarski
2016년 12월 21일에 업데이트된 항목
Safari
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적인 웹 사이트를 방문하면 사용자 인터페이스 스푸핑이 발생할 수 있음
설명: 이 문제로 인해 웹 사이트에서 다른 웹 사이트의 URL을 사용하여 콘텐츠를 표시할 수 있습니다. 이 문제는 향상된 URL 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5904: Facebook의 Erling Ellingsen, Łukasz Pilorz
Safari
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적인 웹 사이트를 방문하면 사용자 인터페이스 스푸핑이 발생할 수 있음
설명: 형식이 잘못된 window opener를 사용하는 악성 웹 사이트로 이동하면 임의 URL이 표시될 수 있습니다. 이 문제는 향상된 window opener 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5905: keitahaga.com의 Keita Haga
Safari
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 클라이언트 인증서를 사용하는 악성 웹 사이트에 의해 사용자가 추적될 수 있음
설명: Safari에서 SSL 인증을 위해 클라이언트 인증서를 일치시키는 작업이 수행될 때 문제가 발생합니다. 이 문제는 유효한 클라이언트 인증서의 향상된 일치 기능을 통해 해결되었습니다.
CVE-ID
CVE-2015-1129: fluid Operations AG의 Stefan Kraus, Whatever s.a.의 Sylvain Munaut
Safari
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적인 웹 사이트를 방문하면 사용자 인터페이스 스푸핑이 발생할 수 있음
설명: 여러 사용자 인터페이스 불일치로 인해 악성 웹 사이트에서 임의 URL을 표시할 수 있습니다. 이 문제는 향상된 URL 표시 로직을 통해 해결되었습니다.
CVE-ID
CVE-2015-5764: Adobe의 Antonio Sanso(@asanso)
CVE-2015-5765: Ron Masas
CVE-2015-5767: Secunia를 통한 Krystian Kloskowski, Masato Kinugawa
Safari 안전 브라우징
iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 알려진 악성 웹 사이트의 IP 주소로 이동해도 보안 경고가 실행되지 않을 수 있음
설명: IP 주소를 통해 알려진 악성 웹 사이트를 방문해도 Safari의 안전 브라우징 기능이 사용자에게 경고를 표시하지 않습니다. 이 문제는 향상된 악성 사이트 감지를 통해 해결되었습니다.
TagsDock의 Rahul M
보안
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 앱이 앱 간 통신을 가로챌 수 있음
설명: 악성 앱이 앱 간 URL 체계 통신을 가로챌 수 있는 문제가 발생합니다. 이 문제는 URL 체계가 처음으로 사용될 때 대화상자를 표시하여 완화되었습니다.
CVE-ID
CVE-2015-5835: FiftyTwoDegreesNorth B.V.의 Teun van Run, Indiana University의 XiaoFeng Wang, Indiana University의 Luyi Xing, Peking University의 Tongxin Li, Tsinghua University의 Xiaolong Bai
Siri
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: iOS 기기에 물리적으로 접근할 수 있는 사람이 Siri를 사용하여 잠금 화면에서는 표시되지 않도록 설정된 콘텐츠 알림을 읽을 수 있음
설명: Siri에게 요청하면 서버에서 클라이언트 측 제한을 확인하지 않습니다. 이 문제는 제한 확인 개선을 통해 해결되었습니다.
CVE-ID
CVE-2015-5892: Robert S Mozayeni, Joshua Donvito
SpringBoard
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 잠금 화면의 메시지 미리보기가 비활성화되어 있어도 iOS 기기에 물리적으로 접근할 수 있는 사람이 잠금 화면에서 오디오 메시지에 회신할 수 있음
설명: 메시지 미리보기가 비활성화되어 있어도 잠금 화면 문제로 인해 사용자가 오디오 메시지에 회신할 수 있습니다. 이 문제는 향상된 상태 관리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5861: Meridian Apps의 Daniel Miedema
SpringBoard
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 응용 프로그램이 다른 응용 프로그램의 대화상자 윈도우를 스푸핑할 수 있음
설명: 권한 있는 API 호출과 관련된 접근 문제가 발생했으나 이 문제는 추가 제한 사항을 통해 해결되었습니다.
CVE-ID
CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui
SQLite
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: SQLite 버전 3.8.5에 여러 가지 취약점이 있음
설명: SQLite 버전 3.8.5에 여러 가지 취약점이 존재합니다. 이러한 문제는 SQLite를 버전 3.8.10.2로 업데이트하여 해결되었습니다.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 임의 코드가 실행될 수 있음
설명: Tidy에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5522: NULLGroup.com의 Fernando Muñoz
CVE-2015-5523: NULLGroup.com의 Fernando Muñoz
WebKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 사용자 설정 이벤트, 메시지 이벤트 및 POP 상태 이벤트 발생 시 분리된 원본 간에 객체 참조가 유출될 수 있음
설명: 객체 유출 문제로 인해 원본 간 분리 경계가 손상됩니다. 이 문제는 원본 간 향상된 분리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5827: Gildas
WebKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 임의 코드가 실행될 수 있음
설명: WebKit에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5792: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
WebKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 웹 사이트를 방문하면 의도치 않은 다이얼링이 발생할 수 있음
설명: tel://, facetime:// 및 facetime-audio:// URL 처리 시 문제가 발생합니다. 이 문제는 향상된 URL 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5820: Andrei Neculaesei, Guillaume Ross
WebKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 작성된 웹 양식에 포함되어 있는 암호의 마지막 문자를 QuickType에서 기억할 수 있음
설명: WebKit에서 암호 입력 컨텍스트를 처리할 때 문제가 발생합니다. 이 문제는 향상된 입력 컨텍스트 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5906: Google Inc.의 Louis Romero
WebKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 네트워크에서 권한 있는 위치에 있는 공격자가 악성 도메인으로 리디렉션될 수 있음
설명: 잘못된 인증서를 사용하는 사이트에서 리소스 캐시를 처리할 때 문제가 발생합니다. 이 문제는 잘못된 인증서를 사용하는 도메인의 응용 프로그램 캐시를 거부하여 해결되었습니다.
CVE-ID
CVE-2015-5907: NUS(National University of Singapore)의 Yaoqi Jia
WebKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적인 웹 사이트가 출처 간 데이터를 유출시킬 수 있음
설명: Safari에서 출처 간 데이터 이탈에 사용될 수 있는 비 CSS MIME 유형을 가진 출처 간 스타일시트가 로드될 수 있습니다. 이 문제는 출처 간 스타일시트의 MIME 유형을 제한하여 해결되었습니다.
CVE-ID
CVE-2015-5826: filedescriptor, Chris Evans
WebKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: Performance API로 인해 악성 웹 사이트에서 브라우징 기록, 네트워크 활동 및 마우스 움직임이 유출될 수 있음
설명: WebKit의 Performance API로 인해 악성 웹 사이트에서 시간이 측정됨으로써 브라우징 기록, 네트워크 활동 및 마우스 움직임이 유출될 수 있습니다. 이 문제는 시간 확인을 제한하여 해결되었습니다.
CVE-ID
CVE-2015-5825: Columbia University의 Network Security Lab에 소속된 Yossi Oren 등
WebKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 네트워크에서 권한 있는 위치에 있는 공격자가 중요한 사용자 정보를 유출할 수 있음
설명: 첨부 파일 유형이 포함된 Content-Disposition 헤더와 관련된 문제가 발생합니다. 이 문제는 첨부 파일 유형 페이지의 일부 기능을 비활성화함으로써 해결되었습니다.
CVE-ID
CVE-2015-5921: Intel(r) Advanced Threat Research 팀의 Mickey Shkatov, Singapore Management University의 Daoyuan Wu, Hong Kong Polytechnic University의 Rocky K. C. Chang, Łukasz Pilorz, www.knownsec.com의 superhei
WebKit 캔버스
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적인 웹 사이트를 방문하면 다른 웹 사이트의 이미지 데이터가 공개될 수 있음
설명: WebKit의 'canvas' 요소 이미지와 관련된 출처 간 문제가 발생합니다. 이 문제는 향상된 보안 출처 추적을 통해 해결되었습니다.
CVE-ID
CVE-2015-5788: Apple
WebKit 페이지 로드
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: WebSocket이 혼합 콘텐츠 정책 실행을 우회할 수 있음
설명: 정책이 충분하게 실행되지 않는 문제로 인해 WebSocket이 혼합 콘텐츠를 로드할 수 있습니다. 이 문제는 혼합 콘텐츠 정책 실행을 WebSocket으로 확장하여 해결되었습니다.
Higher Logic의 Kevin G. Jones
일부 국가 또는 지역에서는 FaceTime을 사용할 수 없습니다.
Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능 및 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 자세한 내용은 해당 업체에 문의하시기 바랍니다.