이 문서는 아카이브 처리되었으며 Apple은 더 이상 이 문서를 업데이트하지 않습니다.

Mac OS X 10.4.8 업데이트 및 보안 업데이트 2006-006의 보안 콘텐츠에 관하여

이 문서에서는 소프트웨어 업데이트 환경설정 또는 Apple 다운로드 사이트를 통해 다운로드하고 설치할 수 있는 보안 업데이트 2006-006 및 Mac OS X 10.4.8 업데이트의 보안 콘텐츠에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.

Mac OS X v10.4.8 및 보안 업데이트 2006-006

  • CFNetwork

    CVE-ID: CVE-2006-4390

    대상: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4~Mac OS X v10.4.7, Mac OS X Server v10.4~Mac OS X Server v10.4.7

    영향: Safari와 같은 CFNetwork 클라이언트는 인증되지 않은 SSL 사이트가 인증된 것처럼 표시되도록 허용할 수 있음

    설명: SSL을 사용하여 생성된 연결은 일반적으로 인증되고 암호화됩니다. 암호화를 인증 없이 구현하면 악성 사이트가 신뢰할 수 있는 사이트처럼 보일 수 있습니다. Safari에서는 원격 사이트의 신원을 신뢰할 수 없는 경우 잠금 아이콘이 표시될 수 있습니다. 이 업데이트는 기본적으로 익명의 SSL 연결을 허용하지 않도록 하는 방식으로 문제를 해결합니다. 이 문제를 보고해 주신 퀸즈랜드 공과 대학교의 Adam Bryzak 님께 감사드립니다.

  • Flash Player

    CVE-ID: CVE-2006-3311, CVE-2006-3587, CVE-2006-3588, CVE-2006-4640

    대상: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4~Mac OS X v10.4.7, Mac OS X Server v10.4~Mac OS X Server v10.4.7

    영향: Flash 콘텐츠를 재생하면 임의 코드가 실행될 수 있음

    설명: Adobe Flash Player에는 악의적으로 제작된 콘텐츠를 처리할 때 임의 코드가 실행될 수 있는 심각한 취약점이 존재합니다. 이 업데이트는 Mac OS X v10.3.9의 Flash Player 버전 9.0.16.0 및 Mac OS X v10.4 시스템의 Flash Player 버전 9.0.20.0을 통합하는 방식으로 문제를 해결합니다.

    자세한 정보는 Adobe 웹 사이트(http://www.adobe.com/support/security/bulletins/apsb06-11.html)에서 확인할 수 있습니다.

  • ImageIO

    CVE-ID: CVE-2006-4391

    대상: Mac OS X v10.4~Mac OS X v10.4.7, Mac OS X Server v10.4~Mac OS X Server v10.4.7

    영향: 악의적으로 제작된 JPEG2000 이미지를 보면 응용 프로그램이 충돌하거나 임의 코드가 실행될 수 있음

    설명: 공격자는 손상된 JPEG2000 이미지를 정교하게 제작하여 응용 프로그램 충돌 또는 임의 코드 실행을 야기할 수 있는 버퍼 오버플로우를 유발할 수 있습니다. 이 업데이트는 JPEG2000 이미지에 대한 유효성을 추가로 확인하는 방식으로 문제를 해결합니다. Mac OS X v10.4 이전 버전이 설치된 시스템은 이 문제의 영향을 받지 않습니다. 이 문제를 보고해 주신 Idle Loop Software Design의 Tom Saxton 님께 감사드립니다.

  • Kernel

    CVE-ID: CVE-2006-4392

    대상: Mac OS X v10.4~Mac OS X v10.4.7, Mac OS X Server v10.4~Mac OS X Server v10.4.7

    영향: 로컬 사용자가 상승된 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 커널의 메커니즘을 처리할 때 오류가 발생하며, 이 오류를 Mach 예외 포트라고도 합니다. 이 메커니즘은 특정 유형의 오류가 발생했을 때 프로그램을 제어할 수 있는 기능을 제공합니다. 악의적인 로컬 사용자는 오류가 발생할 경우 이 메커니즘을 사용하여 권한 있는 프로그램에서 임의 코드를 실행할 수 있습니다. 이 업데이트는 권한 있는 프로그램의 Mach 예외 포트에 대한 접근을 제한하는 방식으로 문제를 해결합니다. 이 문제를 보고해 주신 Matasano Security의 Dino Dai Zovi 님께 감사드립니다.

  • LoginWindow

    CVE-ID: CVE-2006-4397

    대상: Mac OS X v10.4~Mac OS X v10.4.7, Mac OS X Server v10.4~Mac OS X Server v10.4.7

    영향: 네트워크 계정에 로그인하려는 시도에 실패하면 다른 로컬 사용자가 Kerberos 티켓에 접근할 수 있음

    설명: 확인되지 않은 오류 조건으로 인해, loginwindow를 통해 네트워크 계정에 로그인하려는 시도에 실패하면 Kerberos 티켓이 제대로 삭제되지 않을 수 있습니다. 이로 인해 다른 로컬 사용자가 이전 사용자의 Kerberos 티켓에 무단으로 접근할 수 있습니다. 이 업데이트는 로그인에 실패한 후 자격 증명 캐시를 지우는 방식으로 문제를 해결합니다. Mac OS X v10.4 이전 버전이 설치된 시스템은 이 문제의 영향을 받지 않습니다. 이 문제를 보고해 주신 Digital Peaks Corporation의 Patrick Gallagher 님께 감사드립니다.

  • LoginWindow

    CVE-ID: CVE-2006-4393

    대상: Mac OS X v10.4~Mac OS X v10.4.7, Mac OS X Server v10.4~Mac OS X Server v10.4.7

    영향: 빠른 사용자 전환이 활성화되어 있으면 다른 로컬 사용자가 Kerberos 티켓에 접근할 수 있음

    설명: 빠른 사용자 전환을 처리할 때 오류가 발생하며, 이 오류로 인해 로컬 사용자가 다른 로컬 사용자의 Kerberos 티켓에 접근할 수 있습니다. 이러한 상황을 방지하기 위해 빠른 사용자 전환이 업데이트되었습니다. Mac OS X v10.4 이전 버전이 설치된 시스템은 이 문제의 영향을 받지 않습니다. 이 문제를 보고해 주신 스웨덴 스톡홀름에 소재한 Royal Institute of Technology의 Don Rainwater 님께 감사드립니다.

  • LoginWindow

    CVE-ID: CVE-2006-4394

    대상: Mac OS X v10.4~Mac OS X v10.4.7, Mac OS X Server v10.4~Mac OS X Server v10.4.7

    영향: 네트워크 계정이 loginwindow 서비스 접근 제어를 우회할 수 있음

    설명: 서비스 접근 제어가 loginwindow를 통해 시스템에 로그인할 수 있는 사용자를 제한하는 데 사용될 수 있습니다. loginwindow의 로직 오류로 인해 GUID가 없는 네트워크 계정이 서비스 접근 제어를 우회할 수 있습니다. loginwindow에 서비스 접근 제어를 사용하고 네트워크 계정에서 GUID 없이 사용자를 인증할 수 있도록 구성된 시스템만 이 문제의 영향을 받습니다. 이 문제는 loginwindow에서 서비스 접근 제어를 올바르게 처리하는 방식으로 해결되었습니다. Mac OS X v10.4 이전 버전이 설치된 시스템은 이 문제의 영향을 받지 않습니다.

  • Preferences

    CVE-ID: CVE-2006-4387

    대상 Mac OS X v10.4~Mac OS X v10.4.7, Mac OS X Server v10.4~Mac OS X Server v10.4.7

    영향: 계정의 관리자 권한을 제거한 후에도 해당 계정으로 WebObjects 응용 프로그램을 계속 관리할 수 있음

    설명: 시스템 환경설정에서 '사용자를 이 컴퓨터의 관리자로 허용’ 체크상자의 선택을 해제해도 appserveradm 또는 appserverusr 그룹에서 계정을 제거하지 못할 수 있습니다. 이러한 그룹은 계정에서 WebObjects 응용 프로그램을 관리하도록 허용합니다. 이 업데이트는 계정이 적절한 그룹에서 제거되도록 하는 방식으로 문제를 해결합니다. Mac OS X v10.4 이전 버전이 설치된 시스템은 이 문제의 영향을 받지 않습니다. 이 문제를 보고해 주신 Fruit Bat Software의 Phillip Tejada 님께 감사드립니다.

  • QuickDraw Manager

    CVE-ID: CVE-2006-4395

    대상: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4~Mac OS X v10.4.7, Mac OS X Server v10.4~Mac OS X Server v10.4.7

    영향: 특정 응용 프로그램에서 악성 PICT 이미지를 열면 응용 프로그램이 충돌하거나 임의 코드가 실행될 수 있음

    설명: 특정 응용 프로그램은 지원되지 않는 QuickDraw 작업을 호출하여 PICT 이미지를 표시합니다. 공격자는 손상된 PICT 이미지를 정교하게 제작하여 이러한 응용 프로그램에서 메모리가 손상되도록 야기할 수 있으며, 이로 인해 응용 프로그램이 충돌하거나 임의 코드가 실행될 수 있습니다. 이 업데이트는 지원되지 않는 작업을 방지하는 방식으로 문제를 해결합니다.

  • SASL

    CVE-ID: CVE-2006-1721

    대상: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4~Mac OS X v10.4.7, Mac OS X Server v10.4~Mac OS X Server v10.4.7

    영향: 원격 공격자가 IMAP 서버 서비스 거부를 야기할 수 있음

    설명: Cyrus SASL에 DIGEST-MD5 교섭 지원 문제가 존재하며, IMAP 서버에서 악의적으로 제작된 영역 헤더로 인해 세그멘테이션 오류가 발생할 수 있습니다. 이 업데이트는 인증 시도에서 영역 헤더 처리를 개선하는 방식으로 문제를 해결합니다.

  • WebCore

    CVE-ID: CVE-2006-3946

    대상: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4~Mac OS X v10.4.7, Mac OS X Server v10.4~Mac OS X Server v10.4.7

    영향: 악의적으로 제작된 웹 페이지를 보면 임의 코드가 실행될 수 있음

    설명: WebKit에서 특정 HTML을 처리할 때 메모리 관리 오류가 발생하며, 이로 인해 악성 웹 사이트에서 충돌이 발생하거나 사용자가 사이트를 볼 때 잠재적으로 임의 코드가 실행될 수 있습니다. 이 업데이트는 오버플로우를 야기하는 조건을 방지하는 방식으로 문제를 해결합니다. 이 문제를 보고해 주신 Netzallee의 Jens Kutilek 님, Sourcefire VRT의 선임 연구 엔지니어인 Lurene Grenier 님, ONZRA의 보안 분석가인 Jose Avila III 님께 감사드립니다.

  • Workgroup Manager

    CVE-ID: CVE-2006-4399

    대상: Mac OS X Server v10.4~Mac OS X Server v10.4.7

    영향: ShadowHash 암호를 사용하는 것으로 보이는 NetInfo 부모의 계정이 계속 Crypt를 사용할 수 있음

    설명: 작업 그룹 관리자는 NetInfo 부모에서 인증 유형을 Crypt에서 ShadowHash 암호로 전환할 수 있는 것처럼 보이지만, 실제로는 그렇지 않습니다. NetInfo 부모에서 계정 보기를 새로 고치면 Crypt가 여전히 사용 중임이 제대로 표시됩니다. 이 업데이트는 관리자가 NetInfo 부모에서 계정의 ShadowHash 암호를 선택하지 못하도록 하는 방식으로 문제를 해결합니다. 이 문제를 보고해 주신 록펠러 대학교의 Chris Pepper 님께 감사드립니다.

설치 참고 사항

소프트웨어 업데이트에는 시스템 구성에 적용되는 업데이트가 표시됩니다. 하나의 업데이트만 설치하면 됩니다.

보안 업데이트 2006-006은 Mac OS X v10.3.9 및 Mac OS X Server v10.3.9 시스템에 설치됩니다.

Mac OS X v10.4.8은 보안 업데이트 2006-006에 있는 보안 수정 사항을 포함하고 있고 Mac OS X v10.4 및 이후 버전과 Mac OS X Server v10.4 및 이후 버전이 설치된 시스템에 설치됩니다.

중요: Apple이 제조하지 않은 제품에 관한 정보는 정보 확인 용도로만 제공되는 것으로 Apple이 해당 제품을 권장하거나 그 성능을 보증하는 것은 아닙니다. 자세한 내용은 협력업체에 문의하십시오.

게시일: