Safari 5.0.1 및 Safari 4.1.1의 보안 콘텐츠에 관하여
이 문서에서는 Safari 5.0.1 및 Safari 4.1.1의 보안 콘텐츠에 대해 설명합니다.
Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.
Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.
가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.
다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.
Safari 5.0.1 및 Safari 4.1.1
Safari
CVE-ID: CVE-2010-1778
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 및 이후 버전, Mac OS X Server v10.6.2 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전
영향: 악의적으로 제작된 RSS 피드에 접근하면 사용자의 시스템에서 파일이 원격 서버로 전송될 수 있음
설명: Safari에서 RSS 피드를 처리할 때 크로스 사이트 스크립팅 문제가 발생합니다. 악의적으로 제작된 RSS 피드에 접근하면 사용자의 시스템에서 파일이 원격 서버로 전송될 수 있었으나 이 문제는 RSS 피드에 대한 향상된 처리를 통해 해결되었습니다. 이 문제를 보고해 주신 Google Security Team의 Billy Rios 님께 감사드립니다.
Safari
CVE-ID: CVE-2010-1796
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 및 이후 버전, Mac OS X Server v10.6.2 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전
영향: Safari의 자동 완성 기능이 사용자의 개입 없이 웹 사이트에 정보를 공개할 수 있음
설명: Safari의 자동 완성 기능은 Mac OS X 주소록, Outlook 또는 Windows 주소록에 있는 지정된 정보를 사용하여 웹 양식을 자동으로 완성할 수 있습니다. 설계상 웹 양식 내에서 자동 완성 기능이 작동하려면 사용자의 작업이 필요합니다. 그런데 구현 문제가 발생하여 악의적으로 제작된 웹 사이트에서 사용자의 개입 없이 자동 완성 기능이 실행되었으며 사용자의 주소록 카드에 저장된 정보가 공개될 수 있었습니다. 이 문제가 발생하려면 다음과 같이 두 가지 상황을 충족해야 합니다. 먼저, Safari 환경설정에서 자동 완성 아래에 있는 '웹 양식 자동 완성: 나의 주소록 카드에 있는 정보 사용하기' 체크상자가 선택되어 있어야 합니다. 두 번째로, 사용자의 주소록에는 '나의 카드'로 지정된 카드가 있어야 합니다. 이 특정 카드에 저장된 정보만 자동 완성 기능을 통해 접근할 수 있습니다. 이 문제는 사용자의 작업 없이 자동 완성 기능이 정보를 사용할 수 없도록 차단하여 해결되었습니다. iOS를 실행 중인 기기는 영향을 받지 않습니다. 이 문제를 보고해 주신 WhiteHat Security의 Jeremiah Grossman 님께 감사드립니다.
WebKit
CVE-ID: CVE-2010-1780
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 및 이후 버전, Mac OS X Server v10.6.2 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: WebKit에서 요소 포커스를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 요소 포커스 처리를 통해 해결되었습니다. 이 문제를 보고해 주신 Google, Inc.의 Tony Chang 님께 감사드립니다.
WebKit
CVE-ID: CVE-2010-1782
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 및 이후 버전, Mac OS X Server v10.6.2 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: WebKit에서 인라인 요소를 렌더링할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다. 이 문제를 보고해 주신 team509의 wushi 님께 감사드립니다.
WebKit
CVE-ID: CVE-2010-1783
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 및 이후 버전, Mac OS X Server v10.6.2 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: WebKit에서 텍스트 노드의 동적 수정을 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결되었습니다.
WebKit
CVE-ID: CVE-2010-1784
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 및 이후 버전, Mac OS X Server v10.6.2 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: WebKit에서 CSS 카운터를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결되었습니다. 이 문제를 보고해 주신 TippingPoint의 Zero Day Initiative에 참여 중인 team509의 wushi 님께 감사드립니다.
WebKit
CVE-ID: CVE-2010-1785
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 및 이후 버전, Mac OS X Server v10.6.2 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: WebKit에서 SVG 텍스트 요소의 :first-letter 및 :first-line 가상 요소를 처리할 때 초기화되지 않은 메모리 접근 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 SVG 텍스트 요소의 :first-letter 또는 :first-line 가상 요소를 렌더링하지 않음으로써 해결되었습니다. 이 문제를 보고해 주신 TippingPoint의 Zero Day Initiative에 참여 중인 team509의 wushi 님께 감사드립니다.
WebKit
CVE-ID: CVE-2010-1786
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 및 이후 버전, Mac OS X Server v10.6.2 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: WebKit에서 SVG 문서의 foreignObject 요소를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 SVG 문서에 대한 추가 유효성 확인을 통해 해결되었습니다. 이 문제를 보고해 주신 TippingPoint의 Zero Day Initiative에 참여 중인 team509의 wushi 님께 감사드립니다.
WebKit
CVE-ID: CVE-2010-1787
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 및 이후 버전, Mac OS X Server v10.6.2 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: WebKit에서 SVG 문서의 플로팅 요소를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결되었습니다. 이 문제를 보고해 주신 TippingPoint의 Zero Day Initiative에 참여 중인 team509의 wushi 님께 감사드립니다.
WebKit
CVE-ID: CVE-2010-1788
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 및 이후 버전, Mac OS X Server v10.6.2 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: WebKit에서 SVG 문서의 'use' 요소를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 SVG 문서의 'use' 요소에 대한 향상된 처리를 통해 해결되었습니다. 이 문제를 보고해 주신 Google, Inc.의 Justin Schuh 님께 감사드립니다.
WebKit
CVE-ID: CVE-2010-1789
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 및 이후 버전, Mac OS X Server v10.6.2 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: WebKit에서 JavaScript 문자열 대상체를 처리할 때 힙 버퍼 오버플로우가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다. 이 문제는 Apple에서 발견했습니다.
WebKit
CVE-ID: CVE-2010-1790
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 및 이후 버전, Mac OS X Server v10.6.2 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: WebKit에서 JIT(just-in-time) 컴파일된 JavaScript 스텁을 처리할 때 재진입 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 동기화를 통해 해결되었습니다.
WebKit
CVE-ID: CVE-2010-1791
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 및 이후 버전, Mac OS X Server v10.6.2 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: WebKit에서 JavaScript 어레이를 처리할 때 부호화 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 JavaScript 배열 인덱스에 대한 향상된 처리를 통해 해결되었습니다. 이 문제를 보고해 주신 Natalie Silvanovich 님께 감사드립니다.
WebKit
CVE-ID: CVE-2010-1792
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 및 이후 버전, Mac OS X Server v10.6.2 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: WebKit에서 정규식을 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 정규식 처리를 통해 해결되었습니다. 이 문제를 보고해 주신 University of Szeged의 Peter Varga 님께 감사드립니다.
WebKit
CVE-ID: CVE-2010-1793
대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 및 이후 버전, Mac OS X Server v10.6.2 및 이후 버전, Windows 7, Vista, XP SP2 및 이후 버전
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: WebKit에서 SVG 문서의 "font-face" 및 "use" 요소를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 SVG 문서의 'font-face' 및 'use' 요소에 대한 향상된 처리를 통해 해결되었습니다. 이 문제를 보고해 주신 OUSPG의 Aki Helin 님께 감사드립니다.
중요: 타사 웹 사이트 및 타사 제품에 대한 내용은 정보 확인 용도로만 제공되는 것으로 Apple이 해당 제품을 권장하거나 그 성능을 보증하는 것은 아닙니다. Apple은 타사 웹 사이트에 나와 있는 정보 또는 제품의 사용이나 선택, 성능과 관련하여 어떠한 책임도 지지 않습니다. 단지 사용자의 편의를 위해서만 이러한 정보를 제공합니다. Apple은 이러한 사이트에 나와 있는 정보를 확인하지 않았으며 해당 정보의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 인터넷상의 정보 또는 제품을 사용하는 데에는 위험이 따르며 Apple은 이와 관련하여 어떠한 책임도 지지 않습니다. 타사 사이트는 Apple과 관련이 없는 별개의 사이트이며 해당 웹 사이트에서 다루는 콘텐츠와 관련해 Apple은 아무런 권한도 행사할 수 없다는 점을 이해해 주시기 바랍니다. 자세한 내용은 협력업체에 문의하십시오.