iPhone 1.1.1 업데이트 보안 정보

이 문서는 iPhone v1.1.1 업데이트 보안 정보에 대해 설명합니다.

고객을 보호하기 위하여 전체적으로 조사해야할 일이 발생하고, 필요한 패치 또는 릴리즈가 가능하지 않는 한, Apple은 보안 관련 이슈를 노출, 논의 또는 확인하지 않습니다. Apple의 제품 보안에 관해 더 알고 싶으시면, Apple Product Security(Apple 제품 보안) 웹사이트를 방문하십시오.

Apple 제품 보안 PGP 키에 대한 정보는 How to use the Apple Product Security PGP Key(Apple 제품 보안 PGP 키 사용 방법)"을 참조하십시오.

가능한 CVE IDs 가 추후 제공될 정보의 취약성을 보완하기 위해 참조로 사용됩니다.

기타 다른 보안 업데이트에 관한 자세한 정보는 "Apple Security Updates(Apple 보안 업데이트)"를 참조하십시오.

iPhone v1.1.1 업데이트

  • 블루투스

    CVE-ID: CVE-2007-3753

    영향: 블루투스 범위 내에 있는 공격자가 갑자기 애플리케이션을 중단시키거나 임의의 코드 실행을 유발하는 경우

    설명: iPhone의 블루투스 서버에는 입력 검증 문제가 존재합니다. 공격자는 악성 제작된 서비스 검색 프로토콜(SDP) 패킷을 블루투스가 장착된 iPhone으로 전송함으로써 문제를 발생시킬 수 있으며, 이로 인해 애플리케이션이 갑자기 중단되거나 임의의 코드가 실행될 수 있습니다. 본 업데이트는 SDP 패킷을 추가 검증하여 문제를 해결합니다. 이 문제를 보고해주신 Flexilis Mobile Security의 Kevin Mahaffey님, John Hering님께 감사드립니다.

  • 메일

    CVE-ID: CVE-2007-3754

    영향: 검증되지 않은 네트워크를 사용하여 전자메일을 전송할 때 중간 공격자에 의해 정보가 유출되는 경우

    설명: 수신 및 송신 연결에 SSL을 사용하도록 메일이 구성된 경우, 메일 서버의 ID가 변경되거나 신뢰할 수 없을 때 사용자에게 경고하지 않습니다. 연결을 차단할 수 있는 공격자는 사용자 메일 서버를 가장하여 사용자의 이메일 자격증명 또는 다른 중요한 정보를 얻을 수 있습니다. 본 업데이트는 원격 메일 서버의 ID가 변경되었을 때 적절한 경고를 통해 문제를 해결합니다.

  • 메일

    CVE-ID: CVE-2007-3755

    영향: 메일에 있는 전화 ("tel:") 링크로 확인 없이 전화를 거는 경우

    설명: 메일에서 지원하는 전화 ("tel:") 링크로 전화를 걸 수 있습니다. 공격자는 사용자가 메일 메시지에 포함된 전화 링크를 따르도록 유도하여, 사용자의 확인 없이 iPhone에서 전화를 걸 수 있습니다. 본 업데이트는 메일의 전화 링크를 통해 전화를 걸기 전에 확인 창을 표시하여 문제를 해결합니다. 이 문제를 보고해 주신 McAfee의 Andi Baritchi님께 감사드립니다.

  • Safari

    CVE-ID: CVE-2007-3756

    영향: 악성 웹페이지 방문시 URL 내용이 공개되는 경우

    설명: Safari 디자인 문제로 인해 페어런트 창에 현재 표시되어 있는 URL을 웹페이지에서 읽을 수 있습니다. 공격자는 사용자가 악성 제작된 페이지를 방문하게 하여, 관련 없는 페이지의 URL을 얻을 수 있습니다. 본 업데이트는 도메인 간 보안 확인을 개선하여 문제를 해결합니다. 이 문제를 보고해 주신 Google Inc.의 Michal Zalewski님과 Secunia Research에 감사드립니다.

  • Safari

    CVE-ID: CVE-2007-3757

    영향: 악성 웹사이트 방문으로 의도하지 않은 전화를 걸거나, 다른 번호로 전화를 거는 경우

    설명: Safari에서 지원하는 전화 ("tel:") 링크로 전화를 걸 수 있습니다. 전화 링크를 선택하면 Safari는 전화가 걸리는지 확인합니다. 악성 제작된 전화 링크로 인해, 확인 도중에 실제 전화번호가 아닌 다른 번호가 표시될 수 있습니다. 확인 작업 도중 Safari를 종료하면 의도하지 않게 확인이 완료될 수 있습니다. 본 업데이트는 현재 걸고 있는 전화 번호를 올바르게 표시하며, 화 링크에 대한 확인을 하게 함으로써 문제를 해결합니다. 이 문제를 보고해 주신 HP Security Labs (구 SPI Labs)의 Billy Hoffman님과 Bryan Sullivan님, 그리고 Eduardo Tang님께 감사드립니다.

  • Safari

    CVE-ID: CVE-2007-3758

    영향: 악성 웹사이트 방문으로 사이트 교차 스크립트가 실행되는 경우

    설명: Safari에 존재하는 사이트 교차 문제 때문에, 악성 웹사이트에서 다른 도메인의 웹사이트 JavaScript 창 기본설정을 할 수 있습니다. 공격자는 사용자가 악성 제작된 웹사이트를 방문하도록 유도하여 이 문제를 일으킬 수 있으며, 다른 웹사이트로부터 서비스된 페이지에 대한 창 상태와 위치를 읽고 설정할 수 있습니다. 본 업데이트는 기본설정에 대한 개선된 액세스 제어를 제공하여 문제를 해결합니다. 이 문제를 보고해 주신 Google Inc.의 Michal Zalewski님께 감사드립니다.

  • Safari

    CVE-ID: CVE-2007-3759

    영향: Safari가 재시작될 때까지 JavaScript 비활성화가 적용되지 않는 경우

    설명: JavaScript가 활성화 또는 비활성화되도록 Safari를 구성할 수 있습니다. 이 기본설정은 Safari가 다음 재시작될 때까지 적용되지 않습니다. 이는 보통 iPhone이 재시작될 때 적용됩니다. 따라서, JavaScript가 활성화되어 있음에도 비활성화되어 있다고 착각할 수 있습니다. 본 업데이트는 새 웹페이지를 불러오기 전에 새 기본설정을 적용하여 문제를 해결합니다.

  • Safari

    CVE-ID: CVE-2007-3760

    영향: 악성 웹사이트 방문으로 사이트 교차 스크립트가 실행되는 경우

    설명: Safari에서의 사이트 교차 스크립트 문제로 인해 악성 제작 웹사이트에서 "frame" 태그를 사용하는 동일 도메인(same-origin) 정책을 무시하게 됩니다. 공격자는 사용자가 악성 제작된 웹사이트를 방문하도록 유도하여 이 문제를 일으킬 수 있으며, 이로 인해 다른 사이트의 컨텍스트에 있는 JavaScript 가 실행될 수 있습니다. 본 업데이트는 "iframe" 소스로서의 JavaScript 사용을 금지하고 프레임 태그의 JavaScript 를 서비스된 사이트와 동일한 접근으로 제한하여 문제를 해결합니다. 이 문제를 보고해 주신 Google Inc.의 Michal Zalewski님과 Secunia Research에 감사드립니다.

  • Safari

    CVE-ID: CVE-2007-3761

    영향: 악성 웹사이트 방문으로 사이트 교차 스크립트가 실행되는 경우

    설명: Safari의 사이트 교차 스크립트 문제로 인해 JavaScript 이벤트가 잘못된 프레임과 연결될 수도 있습니다. 사용자가 악성 제작된 웹사이트를 방문하도록 유도함으로써, 공격자는 다른 사이트의 컨텍스트에 있는 JavaScript를 실행할 수 있습니다. 본 업데이트는 JavaScript 이벤트를 정확한 소스 프레임과 연결하여 문제를 해결합니다.

  • Safari

    CVE-ID: CVE-2007-4671

    영향: 웹사이트의 JavaScript가 HTTPS에서 서비스되는 문서의 내용에 접근하거나, 내용을 조정하는 경우

    설명: Safari의 문제로 인해 HTTP에서 서비스되는 내용이 변경되거나, 동일한 HTTPS에서 서비스되는 내용에 접근할 수 있습니다. 공격자는 사용자가 악성 제작된 웹사이트를 방문하도록 유도함으로써, 동일한 도메인의 HTTP 웹페이지 컨텍스트에 있는 JavaScript가 실행될 수 있습니다. 본 업데이트는 HTTP와 HTTPS 프레임에서 실행되는 JavaScript 사이의 접근을 제한하여 문제를 해결합니다. 이 문제를 보고해 주신 LAC Co., Ltd.(Little eArth Corporation Co., Ltd.)의 Keigo Yamazaki님께 감사드립니다.

설치 주의사항

본 업데이트는 iTunes을 통해서만 사용할 수 있으며, 컴퓨터의 소프트웨어 업데이트 애플리케이션 또는 애플 다운로드 사이트에서는 볼 수 없습니다. 인터넷에 연결되어 있는지 확인하고, iTunes의 최신 버전이 설치되어 있는지 www.apple.com/kr/itunes에서 확인하십시오.

iTunes은 주 단위로 Apple의 업데이트 서버를 자동으로 확인합니다. 업데이트가 발견되면 다운로드하게 됩니다. iPhone이 부착된 경우, iTunes은 업데이트 설치 옵션을 표시합니다. 해당 업데이트를 가능한 한 즉시 적용할 것을 권장합니다. [설치 안함 (Don't Install)]을 선택하면 다음에 iPhone을 연결할 때 옵션이 표시됩니다.

자동 업데이트 절차는 iTunes에서 업데이트를 확인하는 날에 따라 최대 일주일 정도 걸립니다. iTunes에서 [업데이트 확인 (Check for Update)] 버튼을 사용하여 수동으로 업데이트할 수도 있습니다. 이 작업을 마친 후, iPhone이 컴퓨터에 부착될 때 업데이트가 적용됩니다.

iPhone이 업데이트되었는지 확인하려면:

  1. [설정 (Setting)]을 찾습니다.
  2. [일반 (General)]을 클릭합니다.
  3. [정보 (About)]를 클릭합니다. 이 업데이트를 적용한 후의 버전은 "1.1.1 (3A109a)"입니다.
게시일: