Safari 4.0.3의 보안 콘텐츠에 관하여

이 문서에서는 Safari 4.0.3의 보안 콘텐츠에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.

Safari 4.0.3

• CoreGraphics

  CVE-ID: CVE-2009-2468

  대상: Windows XP 및 Vista

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: 긴 텍스트 문자열을 그릴 때 힙 버퍼 오버플로우가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 범위 검사를 통해 문제를 해결합니다. 이 문제를 보고해 주신 Google Inc의 Will Drewry 님께 감사드립니다.

• ImageIO

  CVE-ID: CVE-2009-2188

  대상: Windows XP 및 Vista

  영향: 악의적으로 제작된 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: EXIF 메타데이터를 처리할 때 버퍼 오버플로우가 발생합니다. 악의적으로 제작된 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 범위 검사를 통해 문제를 해결합니다.

• Safari

  CVE-ID: CVE-2009-2196

  대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP 및 Vista

  영향: 악의적으로 제작된 웹 사이트가 Safari에서 자주 방문하는 사이트로 승격될 수 있음

  설명: Safari 4에 사용자가 즐겨 찾는 웹 사이트를 한눈에 볼 수 있는 자주 방문하는 사이트 기능이 도입되었습니다. 악의적인 웹 사이트가 자동화된 작업을 통해 임의의 사이트를 자주 방문하는 사이트 보기로 승격시킬 수 있습니다. 이는 피싱 공격을 용이하게 하는 데 사용될 수 있습니다. 이 문제는 자동화된 웹 사이트 방문이 자주 방문하는 사이트 목록에 영향을 미치지 않도록 하여 해결되었습니다. 사용자가 수동으로 방문하는 웹 사이트만 자주 방문하는 사이트 목록에 포함될 수 있습니다. 참고로 Safari는 사기성 사이트 탐지 기능을 기본적으로 활성화합니다. 자주 방문하는 사이트 기능이 도입된 이후로 사기성 사이트는 자주 방문하는 사이트 보기에 표시되지 않습니다. 이 문제를 보고해 주신 SecureThoughts.com의 Inferno 님께 감사드립니다.

• WebKit

  CVE-ID: CVE-2009-2195

  대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP 및 Vista

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 부동 소수점 수를 구문 분석할 때 버퍼 오버플로우가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 범위 검사를 통해 문제를 해결합니다. 이 문제는 Apple에서 발견했습니다.

• WebKit

  CVE-ID: CVE-2009-2200

  대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP 및 Vista

  영향: 악의적으로 제작된 웹 사이트를 방문하고 악의적인 플러그인 대화상자에서 '이동'을 클릭하면 민감한 정보가 공개될 수 있음

  설명: WebKit은 'embed' 요소의 pluginspage 속성이 파일 URL을 참조하도록 허용합니다. 알 수 없는 플러그인 유형이 참조될 때 나타나는 대화상자에서 '이동'을 클릭하면 pluginspage 속성에 나열된 URL로 리디렉션됩니다. 그러면 원격 공격자가 Safari에서 파일 URL을 실행할 수 있으며, 이로 인해 민감한 정보가 공개될 수 있습니다. 이 업데이트에서는 pluginspage URL 스킴을 http 또는 https로 제한하여 문제를 해결합니다. 이 문제를 보고해 주신 n.runs AG의 Alexios Fakos 님께 감사드립니다.

• WebKit

  CVE-ID: CVE-2009-2199

  대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP 및 Vista

  영향: URL의 유사한 문자가 웹 사이트를 가장하는 데 사용될 수 있음

  설명: Safari에 포함된 IDN(International Domain Name) 지원 및 유니코드 서체가 유사한 문자를 포함하는 URL을 생성하는 데 사용될 수 있습니다. 이러한 URL은 악의적인 웹 사이트에서 적법한 도메인인 것처럼 보이는 스푸핑된 사이트로 사용자를 리디렉션하는 데 사용될 수 있습니다. 이 업데이트에서는 WebKit의 알려진 유사한 문자의 목록을 보완하여 문제를 해결합니다. 유사한 문자는 주소 막대에서 Punycode로 렌더링됩니다. 이 문제를 보고해 주신 Casaba Security, LLC의 Chris Weber 님께 감사드립니다.