iOS 2.2 및 iPod touch용 iOS 2.2의 보안 콘텐츠에 관하여

이 문서는 iOS 2.2 및 iPod touch용 iOS 2.2의 보안 콘텐츠에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.

iOS 2.2 및 iPod touch용 iOS 2.2

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    대상: iOS 1.0~2.1, iPod touch용 iOS 1.1~2.1

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 인수를 처리할 때 CoreGraphics에서 메모리 손상 문제가 발생합니다. 웹 브라우저와 같은 응용 프로그램을 통해 신뢰할 수 없는 입력을 CoreGraphics에 전달하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 범위 검사를 통해 문제를 해결합니다. 이 문제를 보고해 주신 Google의 Michal Zalewski 님께 감사드립니다.

  • ImageIO

    CVE-ID: CVE-2008-2327

    대상: iOS 1.0~2.1, iPod touch용 iOS 1.1~2.1

    영향: 악의적으로 제작된 TIFF 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: libTIFF에서 LZW로 인코딩된 TIFF 이미지를 처리할 때 여러 가지의 초기화되지 않은 메모리 접근 문제가 발생합니다. 악의적으로 제작된 TIFF 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 적절한 메모리 초기화 및 TIFF 이미지에 대한 추가적인 유효성 확인을 통해 문제를 해결합니다.

  • ImageIO

    CVE-ID: CVE-2008-1586

    대상: iOS 1.0~2.1, iPod touch용 iOS 1.1~2.1

    영향: 악의적으로 제작된 TIFF 이미지를 보면 기기가 예기치 않게 재설정될 수 있음

    설명: TIFF 이미지를 처리할 때 메모리 소모 문제가 발생합니다. 악의적으로 제작된 TIFF 이미지를 보면 기기가 예기치 않게 재설정될 수 있습니다. 이 업데이트에서는 TIFF 이미지를 여는 데 할당되는 메모리의 양을 제한하여 문제를 해결합니다. 이 문제를 보고해 주신 Recurity Labs GmbH의 Sergio 'shadown' Alvarez 님께 감사드립니다.

  • Networking

    CVE-ID: CVE-2008-4227

    대상: iOS 1.0~2.1, iPod touch용 iOS 1.1~2.1

    영향: PPTP VPN 연결의 암호화 수준이 예상보다 낮을 수 있음

    설명: PPTP VPN 연결의 암호화 수준이 이전의 더 낮은 설정으로 되돌아갈 수 있습니다. 이 업데이트에서는 암호화 환경설정을 적절하게 설정하여 문제를 해결합니다. 이 문제를 보고해 주신 University of Illinois of Urbana-Champaign의 Stephen Butler 님께 감사드립니다.

  • Office Viewer

    CVE-ID: CVE-2008-4211

    대상: iOS 1.0~2.1, iPod touch용 iOS 1.1~2.1

    영향: 악의적으로 제작된 Microsoft Excel 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: Office Viewer에서 Microsoft Excel 파일의 열을 처리할 때 부호화 문제가 발생하며, 이로 인해 범위를 벗어난 메모리 접근이 발생할 수 있습니다. 악의적으로 제작된 Microsoft Excel 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 영향을 받는 인덱스 값이 음수가 되지 않도록 하여 문제를 해결합니다. 이 문제는 Apple에서 발견했습니다.

  • Passcode Lock

    CVE-ID: CVE-2008-4228

    대상: iOS 1.0~2.1, iPod touch용 iOS 1.1~2.1

    영향: 긴급통화가 긴급 전화번호로 제한되지 않음

    설명: iPhone은 잠겨 있을 때 긴급통화를 걸 수 있는 기능을 제공합니다. 현재 긴급통화는 어떤 번호로든 걸 수 있습니다. iPhone에 물리적으로 접근할 수 있는 사람이 이 기능을 이용하여 임의의 번호로 전화를 걸 수 있으며, 이 경우 요금은 iPhone 소유자에게 청구됩니다. 이 업데이트에서는 긴급통화를 제한된 전화번호로 제한하여 문제를 해결합니다.

  • Passcode Lock

    CVE-ID: CVE-2008-4229

    대상: iOS 1.0~2.1, iPod touch용 iOS 1.1~2.1

    영향: 백업에서 기기를 복원할 때 암호 잠금이 다시 활성화되지 않을 수 있음

    설명: 암호 잠금 기능은 올바른 암호를 입력하지 않는 한 응용 프로그램이 실행되지 않도록 설계되었습니다. 기기 설정을 처리할 때 경합 상태가 발생하며, 이로 인해 기기를 백업에서 복원할 때 암호 잠금이 제거될 수 있습니다. 그러면 기기에 물리적으로 접근할 수 있는 사람이 암호 없이 응용 프로그램을 실행할 수 있습니다. 이 업데이트에서는 누락된 환경설정을 인식하는 시스템의 기능을 개선하여 문제를 해결합니다. iOS 2.0 또는 iPod touch용 iOS 2.0 이전 버전이 설치된 시스템은 이 문제의 영향을 받지 않습니다. 이 문제를 보고해 주신 Nolen Scaife 님께 감사드립니다.

  • Passcode Lock

    CVE-ID: CVE-2008-4230

    대상: iOS 1.0~2.1, iPod touch용 iOS 1.1~2.1

    영향: 암호를 입력하기 전에 SMS(단문 메시지 서비스) 메시지가 표시될 수 있음

    설명: 긴급통화 화면이 보이는 동안 SMS 메시지가 도착하면 'SMS 미리보기' 환경설정이 '끄기'로 설정되어 있는 경우에도 전체 SMS 메시지가 표시됩니다. 이 업데이트에서는 이 상황에서 SMS 메시지의 내용이 아닌 SMS 메시지가 도착했다는 알림만 표시하여 문제를 해결합니다.

  • Safari

    CVE-ID: CVE-2008-4231

    대상: iOS 1.0~2.1, iPod touch용 iOS 1.1~2.1

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: HTML 테이블 요소를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 HTML 테이블 요소 처리를 통해 문제를 해결합니다. 이 문제를 보고해 주신 Fortinet FortiGuard Global Security Research Team의 Haifei Li 님께 감사드립니다.

  • Safari

    CVE-ID: CVE-2008-4232

    대상: iOS 1.0~2.1, iPod touch용 iOS 1.1~2.1

    영향: iframe 요소가 내장된 웹 사이트가 사용자 인터페이스 스푸핑에 취약할 수 있음

    설명: Safari에서는 iframe 요소가 경계 밖의 콘텐츠를 표시하도록 허용하므로 사용자 인터페이스 스푸핑이 발생할 수 있습니다. 이 업데이트에서는 iframe 요소가 경계 밖의 콘텐츠를 표시하지 못하게 하여 문제를 해결합니다. iOS 2.0 또는 iPod touch용 iOS 2.0 이전 버전이 설치된 시스템은 이 문제의 영향을 받지 않습니다. 이 문제를 보고해 주신 Mozilla Corporation의 John Resig 님께 감사드립니다.

  • CVE-ID: CVE-2008-4233 대상: iOS 1.0~2.1, iPod touch용 iOS 1.1~2.1 영향: 악의적으로 제작된 웹 사이트를 방문하면 사용자 상호 작용 없이 전화 통화 발신이 시작될 수 있음 설명: 통화 승인 대화상자가 표시되어 있는 동안 Safari를 통해 응용 프로그램을 실행하면 전화가 발신됩니다. 이로 인해 악의적으로 제작된 웹 사이트가 사용자 상호 작용 없이 전화 통화 발신을 시작할 수 있습니다. 또한 특정 상황에서는 악의적으로 제작된 웹 사이트가 단기간 동안 사용자의 발신 취소 기능을 차단할 수도 있습니다. 이 업데이트에서는 Safari를 통해 응용 프로그램이 실행될 때 Safari의 통화 승인 대화상자를 적절하게 해제하여 문제를 해결합니다. 이 문제를 보고해 주신 Fraunhofer SIT의 Collin Mulliner 님께 감사드립니다.

    Safari

  • Webkit

    CVE-ID: CVE-2008-3644

    대상: iOS 1.0~2.1, iPod touch용 iOS 1.1~2.1

    영향: 잠금 해제된 기기에 물리적으로 접근할 수 있는 사람에게 민감한 정보가 공개될 수 있음

    설명: 양식 필드에서 자동 완성을 비활성화하면 필드의 데이터가 브라우저 페이지 캐시에 저장되는 것을 방지하지 못할 수 있습니다. 이로 인해 잠금 해제된 기기에 물리적으로 접근할 수 있는 사람에게 민감한 정보가 공개될 수 있습니다. 이 업데이트에서는 양식 데이터를 적절하게 지워 문제를 해결합니다. 이 문제를 보고해 주신 익명의 연구원님께 감사드립니다.

중요: Apple이 제조하지 않은 제품에 관한 정보는 정보 확인 용도로만 제공되는 것으로 Apple이 해당 제품을 권장하거나 그 성능을 보증하는 것은 아닙니다. 자세한 내용은 협력업체에 문의하십시오.

게시일: