iPhone 및 iPod touch용 iOS 4.1의 보안 콘텐츠에 관하여

이 문서에서는 iPhone과 iPod touch용 iOS 4.1의 보안 콘텐츠에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시가 이루어질 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용을 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.

iPhone 및 iPod touch용 iOS 4.1

• 손쉬운 사용

  CVE-ID: CVE-2010-1809

  사용 대상: iPhone 3GS 및 이후 버전용 iOS 3.0 - 4.0.2, iPod touch (3rd generation)용 iOS 3.0 - 4.0.2

  영향: 응용 프로그램에서 위치 서비스를 사용할 때 VoiceOver를 통해 설명이 들리지 않을 수 있음

  설명: 위치 서비스의 설정 패널에 사용자 인터페이스 손쉬운 사용 문제가 발생합니다. VoiceOver 기능이 최근 24시간 내에 사용자의 위치 정보를 요청한 적이 있는 응용 프로그램 옆에 위치 서비스 아이콘이 표시되어 있는지에 대해 설명하지 않습니다. 이 문제는 VoiceOver에서 해당 아이콘이 있는지에 대해 설명하도록 설정하면 해결됩니다. 이 문제를 보고한 사람은 Forever Living Products Europe의 Robin Kipp입니다.

• FaceTime

  CVE-ID: CVE-2010-1810

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 허가된 네트워크 위치에 있는 공격자가 FaceTime 통화를 재전송할 수 있음

  설명: 유효하지 않은 인증서 처리에 문제가 있으면 허가된 네트워크 위치에 있는 공격자가 FaceTime 통화를 재전송할 수 있도록 허용할 수 있습니다. 이 문제는 향상된 인증서 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 vtty.com의 Aaron Sigel입니다.

• ImageIO

  CVE-ID: CVE-2010-1811

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 TIFF 이미지를 처리할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: TIFF 이미지를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 TIFF 이미지를 처리할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 TIFF 이미지 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Apple입니다.

• ImageIO

  CVE-ID: CVE-2010-1817

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 GIF 이미지를 처리할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: GIF 이미지를 처리할 때 버퍼 오버플로우가 발생합니다. 악의적으로 제작된 GIF 이미지를 처리할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 경계 검사를 향상함으로써 해결됩니다. 이 문제를 보고한 사람은 Adobe PSIRT의 Tom Ferris입니다.

• WebKit

  CVE-ID: CVE-2010-1786

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 SVG 도큐멘트의 "foreignObject" 요소를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 SVG 도큐멘트의 추가 인증을 통해 해결됩니다. 이 문제를 보고한 사람은 TippingPoint ZDI(Zero Day Initiative)에서 근무하는 team509의 wushi입니다.

• WebKit

  CVE-ID: CVE-2010-1770

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 텍스트 노드를 처리할 때 유형 검사 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 유형 검사를 통해 해결됩니다. 이 문제를 보고한 사람은 TippingPoint ZDI(Zero Day Initiative)에서 근무하는 team509의 wushi입니다.

• WebKit

  CVE-ID: CVE-2010-1785

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 SVG 텍스트 요소의 ":first-letter" 및 ":first-line" 의사(pseudo) 요소를 처리할 때 메모리 액세스가 초기화되지 않는 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 SVG 텍스트 요소의 ":first-letter" 및 ":first-line" 의사(pseudo) 요소를 렌더링하지 않으면 해결됩니다. 이 문제를 보고한 사람은 TippingPoint ZDI(Zero Day Initiative)에서 근무하는 team509의 wushi입니다.

• WebKit

  CVE-ID: CVE-2010-1780

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 요소가 집중되는 것을 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 요소 집중 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Google, Inc.의 Tony Chang입니다.

• WebKit

  CVE-ID: CVE-2010-1793

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 SVG 도큐멘트의 "font-face" 및 "use" 요소를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 SVG 도큐멘트의 "font-face" 및 "use" 요소에 대한 향상된 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 OUSPG의 Aki Helin입니다.

• WebKit

  CVE-ID: CVE-2010-1421

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 웹 사이트를 방문할 때 클립보드의 콘텐츠가 변경될 수 있음

  설명: JavaScript execCommand 함수를 구현할 때 설계 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문할 때 사용자의 상호 작용 없이 클립보드 콘텐츠가 수정될 수 있습니다. 이 문제는 클립보드 명령을 실행할 수 있는 권한을 사용자에게만 부여하여 해결됩니다. 이 문제를 보고한 사람은 Apple입니다.

• WebKit

  CVE-ID: CVE-2010-1422

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 웹 사이트와 상호 작용하면 다른 사이트에서 예기치 않은 동작이 발생할 수 있음

  설명: WebKit에서 키보드 초점을 처리할 때 구현 문제가 발생합니다. 키 입력을 처리할 때 키보드 초점이 변경되면, 키를 누를 때 초점이 맞춰지는 프레임이 아닌 새로 초점이 맞춰진 프레임에 WebKit가 이벤트를 전달할 수 있습니다. 악의적으로 제작된 웹 사이트는 사용자가 구매 초기화와 같이 예기치 않은 동작을 취하도록 조종합니다. 이 문제는 처리 도중 키보드 초점이 변경될 경우 키 누름 이벤트가 전달되는 것을 차단하여 해결됩니다. 이 문제를 보고한 사람은 Google, Inc.의 Michal Zalewski입니다.

• WebKit

  CVE-ID: CVE-2010-1771

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 서체를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 서체 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Apple입니다.

• WebKit

  CVE-ID: CVE-2010-1783

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 텍스트 노드의 동적 변경을 처리하는 과정에서 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결됩니다.

• WebKit

  CVE-ID: CVE-2010-1764

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 폼 전송을 재지정하는 웹 사이트를 방문하는 경우 정보가 공개될 수 있음

  설명: WebKit에서 HTTP 재지정을 처리할 때 설계 문제가 발생합니다. 재지정이 이루어지는 웹 사이트로 폼 전송이 재지정될 경우 전송된 폼에 포함된 정보가 타사 사이트에 전송될 수 있습니다. 이 문제는 향상된 HTTP 재지정을 통해 해결됩니다. 이 문제를 보고한 사람은 WhatWebWhat의 Marc Worrell입니다.

• WebKit

  CVE-ID: CVE-2010-1782

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 인라인 요소를 렌더링할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 경계 검사를 향상함으로써 해결됩니다. 이 문제를 보고한 사람은 team509의 wushi입니다.

• WebKit

  CVE-ID: CVE-2010-1781

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 인라인 요소를 렌더링할 때 이중 해제 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결됩니다. 이 문제를 보고한 사람은 Google Inc.의 James Robinson입니다.

• WebKit

  CVE-ID: CVE-2010-1784

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 CSS 카운터를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결됩니다. 이 문제를 보고한 사람은 TippingPoint ZDI(Zero Day Initiative)에서 근무하는 team509의 wushi입니다.

• WebKit

  CVE-ID: CVE-2010-1787

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 SVG 도큐멘트의 플로팅 요소를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결됩니다.

• WebKit

  CVE-ID: CVE-2010-1791

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 JavaScript 배열을 처리할 때 signedness 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 JavaScript 배열 인덱스 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Natalie Silvanovich입니다.

• WebKit

  CVE-ID: CVE-2010-1788

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 SVG 도큐멘트의 "use" 요소를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 SVG 도큐멘트의 "use" 요소에 대한 향상된 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Google, Inc.의 Justin Schuh입니다.

• WebKit

  CVE-ID: CVE-2010-1812

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 선택 항목을 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 선택 항목 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 chipplyman입니다.

• WebKit

  CVE-ID: CVE-2010-1813

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 HTML 객체 윤곽을 렌더링할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결됩니다. 이 문제를 보고한 사람은 spa-s3c.blogspot.com의 Jose A. Vazquez입니다.

• WebKit

  CVE-ID: CVE-2010-1814

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 양식 메뉴를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 폼 메뉴 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 University of Szeged의 Csaba Osztrogonac입니다.

• WebKit

  CVE-ID: CVE-2010-1815

  사용 대상: iPhone 3G 및 이후 버전용 iOS 2.0 - 4.0.2, iPod touch (2nd generation) 및 이후 버전용 iOS 2.1 - 4.0.2

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 스크롤 막대를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결됩니다. 이 문제를 보고한 사람은 thabermann입니다.

일부 국가 또는 지역에서는 FaceTime을 사용할 수 없습니다.