iOS 4.2의 보안 콘텐츠에 관하여

이 문서에서는 iTunes를 사용하여 다운로드 및 설치할 수 있는 iOS 4.2의 보안 콘텐츠에 대해 설명합니다.

이 문서에서는 iTunes를 사용하여 다운로드 및 설치할 수 있는 iOS 4.2의 보안 콘텐츠에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용을 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 참조할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.

iOS 4.2

  • 구성 프로파일

    CVE-ID: CVE-2010-3827

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 사용자가 오인하여 악의적으로 제작된 구성 프로파일을 설치할 수 있음

    설명: 구성 프로파일을 처리할 때 서명 확인 문제가 발생합니다. 악의적으로 제작된 구성 프로파일은 구성 설치 유틸리티에서 유효한 서명이 있는 것처럼 보일 수 있습니다. 이 문제는 프로파일 서명 검증을 향상함으로써 해결됩니다. 이 문제를 보고한 사람은 Bomgar Corporation의 Barry Simpson입니다.

  • CoreGraphics

    CVE-ID: CVE-2010-2805, CVE-2010-2806, CVE-2010-2807, CVE-2010-2808, CVE-2010-3053, CVE-2010-3054

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: FreeType 2.4.1의 여러 가지 취약점

    설명: FreeType 2.4.1에 여러 가지 취약점이 있으며 이 중 가장 심각한 취약점으로 인해 악의적으로 제작된 서체를 처리할 때 임의 코드가 실행될 수 있습니다. 이러한 문제는 FreeType을 버전 2.4.2로 업데이트하면 해결됩니다. 자세한 내용은 FreeType 사이트(http://www.freetype.org/)를 통해 확인할 수 있습니다.

  • FreeType

    CVE-ID: CVE-2010-3814

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 서체가 포함된 PDF 문서를 보면 임의 코드가 실행될 수 있음

    설명: FreeType에서 TrueType opcodes를 처리할 때 힙 버퍼 오버플로우가 발생합니다. 악의적으로 제작된 서체가 포함된 PDF 문서를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 업데이트는 향상된 경계 검사를 통해 이 문제를 해결했습니다.

  • iAd Content Display

    CVE-ID: CVE-2010-3828

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 허가된 네트워크 위치에 있는 공격자가 통화를 시작할 수 있음

    설명: iAd Content Display에서 URL 처리 문제가 발생합니다. 응용 프로그램은 자동으로 또는 명시적인 사용자 동작을 통해 iAd를 요청합니다. 전화를 거는 데 사용되는 URL 체계를 포함한 링크를 요청된 광고의 내용과 함께 삽입함으로써, 허가된 네트워크 위치에 있는 공격자가 통화를 발생시킬 수 있습니다. 이 문제는 링크에서 통화를 시작하기 전에 사용자에게 메시지를 표시하게 하면 해결됩니다. 이 문제를 보고한 사람은 vtty.com의 Aaron Sigel입니다.

  • ImageIO

    CVE-ID: CVE-2010-2249, CVE-2010-1205

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: libpng에 여러 취약점이 있음

    설명: 여러 가지 취약점을 해결하기 위해 libpng가 버전 1.4.3으로 업데이트되었습니다. 이 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있습니다. 자세한 내용은 libpng 웹 사이트(http://www.libpng.org/pub/png/libpng.html)를 통해 확인할 수 있습니다.

  • libxml

    CVE-ID: CVE-2010-4008

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: libxml에서 xpath를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 xpath 처리를 향상함으로써 해결됩니다. 이 문제를 보고한 사람은 Bkis(www.bkis.com)의 Bui Quang Minh입니다.

  • Mail

    CVE-ID: CVE-2010-3829

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 원격 이미지 로드가 비활성화되어 있을 때 Mail이 DNS 이름을 분석할 수 있음

    설명: WebKit에서 DNS 미리 읽기를 요청하는 HTML 링크 요소가 발생할 때 원격 이미지 로드가 비활성화되어 있는 상태에서도 미리 읽기를 수행합니다. 이 경우 원격 서버에 원하지 않는 요청이 발생할 수 있습니다. HTML 형식의 이메일 메시지를 보낸 사람이 이를 사용하여 메시지를 보았는지 확인할 수 있습니다. 이 문제는 원격 이미지 로드가 비활성화되어 있을 때 DNS 미리 읽기를 비활성화하면 해결됩니다. 이 문제를 보고한 사람은 Cardwell IT Ltd.의 Mike Cardwell입니다.

  • 네트워킹

    CVE-ID: CVE-2010-1843

    사용 대상: iPhone 3GS 이후용 iOS 4.0~4.1, iPod touch (3rd generation) 이후용 iOS 4.0~4.1, iPad용 iOS 3.2~3.2.2

    영향: 원격 공격자로 인해 시스템이 예기치 않게 종료될 수 있음

    설명: PIM(Protocol Independent Multicast) 패킷을 처리할 때 Null 포인터 역참조 문제가 발생합니다. 원격 공격자가 악의적으로 제작된 PIM 패킷을 보내 시스템이 예기치 않게 종료될 수 있습니다. 이 문제는 PIM 패킷에 대한 향상된 검증을 통해 해결됩니다. 이 문제를 보고한 사람은 TippingPoint의 ZDI(Zero Day Initiative)에서 근무하는 익명의 연구원입니다. 이 문제는 3.2 이전의 iOS 버전을 구동하는 장비에는 아무런 영향도 미치지 않습니다.

  • 네트워킹

    CVE-ID: CVE-2010-3830

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악성 코드가 시스템 권한을 얻을 수 있음

    설명: 패킷 필터 규칙을 처리할 때 네트워크에 잘못된 포인터 참조가 발생합니다. 이로 인해 사용자의 세션에서 실행되는 악성 코드가 시스템 권한을 얻을 수 있습니다. 이 문제는 패킷 필터 규칙 처리를 향상함으로써 해결됩니다.

  • OfficeImport

    CVE-ID: CVE-2010-3786

    사용 대상: iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 Excel 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: OfficeImport가 Excel 파일을 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 Excel 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 경계 검사를 향상함으로써 해결됩니다. 이 문제는 iOS4를 사용하는 iPhone에서 해결되었습니다. 이 문제를 보고한 사람은 VeriSign iDefense Labs에서 근무하는 Tobias Klein입니다.
  • 암호 잠금

    CVE-ID: CVE-2010-4012

    사용 대상: iPhone 3G 이후용 iOS 4.0~4.1

    영향: 장비에 대한 물리적 접근 권한을 가진 사람이 사용자의 데이터에 접근할 수 있음

    설명: 긴급 통화를 처리할 때 경쟁 상태 문제가 발생합니다. 긴급 통화 화면에서 통화를 시작한 후 바로 잠자기/깨우기 버튼을 누르면 암호 잠금을 건너뛸 수 있습니다. 이 문제는 잠김 상태 검사를 향상함으로써 해결됩니다.

  • Photos(사진)

    CVE-ID: CVE-2010-3831

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 'MobileMe에 보내기'를 사용하면 MobileMe 계정 암호가 공개될 수 있음

    설명: 사용자는 사진 응용 프로그램을 통해 다양한 방법으로 사진 및 동영상을 공유할 수 있습니다. 한 가지 방법은 'MobileMe에 보내기' 버튼을 누르고 선택한 콘텐츠를 사용자의 MobileMe 갤러리에 업로드하는 것입니다. 사진 응용 프로그램은 서버에서 이용 가능한 다른 인증 메커니즘을 제공하지 않으면 HTTP 기본 인증을 사용합니다. 허가된 네트워크 위치에 있는 공격자가 기본 인증을 요청하는 MobileMe 갤러리의 응답을 조작하여 MobileMe 계정 암호가 공개될 수 있습니다. 이 문제는 기본 인증 지원을 비활성화하면 해결됩니다. 이 문제를 보고한 사람은 vtty.com의 Aaron Sigel입니다.

  • Safari

    CVE-ID: CVE-2009-1707

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 'Safari 재설정'을 수행해도 메모리에서 웹 사이트 암호가 즉시 제거되지 않음

    설명: 'Safari 재설정...' 메뉴 옵션에서 '저장된 이름과 암호 재설정'을 수행하기 위해 '재설정' 버튼을 클릭하면 Safari에서 암호를 지우는 데 최대 30초가 걸릴 수 있습니다. 해당 기간 내에 장비에 접근할 수 있는 사용자는 저장된 자격 증명에 접근할 수 있습니다. 이 문제는 지연으로 이어지는 경쟁 상태를 처리하면 해결됩니다. 이 문제를 보고한 사람은 izypage.com의 Philippe Couturier와 Australian National University의 Andrew Wellington입니다.

  • 전화 통신

    CVE-ID: CVE-2010-3832

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPad용 iOS 3.2~3.2.2

    영향: 원격 공격자가 임의 코드를 실행할 수 있음

    설명: GSM Mobility Management에서 TMSI(Temporary Mobile Subscriber Identity) 필드를 처리할 때 힙 버퍼 오버플로우가 발생합니다. 이로 인해 원격 공격자가 베이스밴드 프로세서에서 임의 코드 실행을 야기할 수 있습니다. 이 문제는 경계 검사를 향상함으로써 해결됩니다. 이 문제를 보고한 사람은 University of Luxembourg의 Ralf-Philipp Weinmann입니다.

  • WebKit

    CVE-ID: CVE-2010-3803

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 스트링을 처리할 때 정수 오버플로우가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 경계 검사를 향상함으로써 해결됩니다. 이 문제를 보고한 사람은 J23입니다.

  • WebKit

    CVE-ID: CVE-2010-3824

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 SVG 문서의 'use' 요소를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 처리 기능을 통해 해결됩니다. 이 문제를 보고한 사람은 team509의 wushi입니다.

  • WebKit

    CVE-ID: CVE-2010-3816

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 스크롤 막대를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 처리 기능을 통해 해결됩니다. 이 문제를 보고한 사람은 Google Inc.의 Rohit Makasana입니다.

  • WebKit

    CVE-ID: CVE-2010-3809

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 인라인 스타일을 처리할 때 유효하지 않은 캐스트 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 인라인 스타일 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Google Chrome Security Team의 Abhishek Arya(Inferno)입니다.

  • WebKit

    CVE-ID: CVE-2010-3810

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트에서 위치 막대의 주소를 변조하거나 히스토리에 임의 위치를 추가할 수 있음

    설명: WebKit에서 History 객체를 처리할 때 출처 간 문제가 발생합니다. 악의적으로 제작된 웹 사이트에서 위치 막대의 주소를 변조하거나 히스토리에 임의 위치를 추가할 수 있습니다. 이 문제는 향상된 보안 출처 추적을 통해 해결됩니다. 이 문제를 보고한 사람은 Opera Software의 Mike Taylor입니다.

  • WebKit

    CVE-ID: CVE-2010-3805

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 WebSocket을 처리할 때 정수 오버플로우가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 경계 검사를 향상함으로써 해결됩니다. 이 문제를 보고한 사람은 Google Chrome Security Team의 Keith Campbell과 Cris Neckar입니다.

  • WebKit

    CVE-ID: CVE-2010-3823

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 Geolocation 객체를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 처리 기능을 통해 해결됩니다. 이 문제를 보고한 사람은 kuzzcc입니다.

  • WebKit

    CVE-ID: CVE-2010-3116

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 플러그인을 처리할 때 여러 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이러한 문제는 향상된 메모리 처리를 통해 해결됩니다.

  • WebKit

    CVE-ID: CVE-2010-3812

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 Text 객체를 처리할 때 정수 오버플로우가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 경계 검사를 향상함으로써 해결됩니다. 이 문제를 보고한 사람은 TippingPoint의 ZDI(Zero Day Initiative)에서 근무하는 J23입니다.

  • WebKit

    CVE-ID: CVE-2010-3808

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 편집 명령어를 처리할 때 유효하지 않은 캐스트 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 편집 명령어 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 team509의 wushi입니다.

  • WebKit

    CVE-ID: CVE-2010-3259

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 다른 웹 사이트의 이미지 데이터가 노출될 수 있음

    설명: WebKit에서 'canvas' 요소에서 생성된 이미지를 처리할 때 출처 간 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 다른 웹 사이트의 이미지 데이터가 노출될 수 있습니다. 이 문제는 향상된 보안 출처 추적을 통해 해결됩니다. 이 문제를 보고한 사람은 Microsoft의 Isaac Dawson과 James Qiu, MSVR(Microsoft Vulnerability Research)입니다.

  • WebKit

    CVE-ID: CVE-2010-1822

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 SVG가 아닌 문서의 SVG 요소를 처리할 때 유효하지 않은 캐스트 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 SVG 요소 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 team509의 wushi입니다.

  • WebKit

    CVE-ID: CVE-2010-3811

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 요소 속성을 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 처리 기능을 통해 해결됩니다. 이 문제를 보고한 사람은 Michal Zalewski입니다.

  • WebKit

    CVE-ID: CVE-2010-3817

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 CSS 3D 변환을 처리할 때 유효하지 않은 캐스트 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 CSS 3D 변환 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Google Chrome Security Team의 Abhishek Arya(Inferno)입니다.

  • WebKit

    CVE-ID: CVE-2010-3818

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 인라인 텍스트 상자를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 처리 기능을 통해 해결됩니다. 이 문제를 보고한 사람은 Google Chrome Security Team의 Abhishek Arya(Inferno)입니다.

  • WebKit

    CVE-ID: CVE-2010-3819

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 CSS 상자를 처리할 때 유효하지 않은 캐스트 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 CSS 상자 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Google Chrome Security Team의 Abhishek Arya(Inferno)입니다.

  • WebKit

    CVE-ID: CVE-2010-3820

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 편집 가능한 요소를 처리할 때 메모리 접근이 초기화되지 않는 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 편집 가능한 요소의 향상된 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Apple입니다.

  • WebKit

    CVE-ID: CVE-2010-1789

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 JavaScript 문자열 객체를 처리할 때 힙 버퍼 오버플로우가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 경계 검사를 향상함으로써 해결됩니다. 이 문제를 보고한 사람은 Apple입니다.

  • WebKit

    CVE-ID: CVE-2010-1806

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 실행 스타일의 요소를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 객체 포인터 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 TippingPoint ZDI(Zero Day Initiative)에서 근무하는 team509의 wushi입니다.

  • WebKit

    CVE-ID: CVE-2010-3257

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 요소가 집중되는 것을 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결됩니다. 이 문제를 보고한 사람은 VUPEN Vulnerability Research Team입니다.

  • WebKit

    CVE-ID: CVE-2010-3826

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 SVG 문서의 색상을 처리할 때 유효하지 않은 캐스트 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 SVG 문서의 색상 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Google Chrome Security Team의 Abhishek Arya(Inferno)입니다.

  • WebKit

    CVE-ID: CVE-2010-1807

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 부동 소수점 데이터 유형을 처리할 때 입력 검증 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 부동 소수점 값 처리를 향상함으로써 해결됩니다. 이 문제를 보고한 사람은 Mozilla의 Luke Wagner입니다.

  • WebKit

    CVE-ID: CVE-2010-3821

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 캐스케이딩 스타일 시트의 ':first-letter' pseudo 요소를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 ':first-letter' pseudo 요소 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Google Chrome Security Team의 Cris Neckar와 Abhishek Arya(Inferno)입니다.

  • WebKit

    CVE-ID: CVE-2010-3804

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 웹 사이트에서 사용자를 몰래 추적할 수 있음

    설명: Safari에서는 예측 가능한 알고리즘을 사용하는 JavaScript 응용 프로그램에 필요한 난수를 생성합니다. 이로 인해 웹 사이트에서 쿠키, 숨겨진 양식 요소, IP 주소 또는 다른 기술을 사용하지 않고 특정 Safari 세션을 추적하게 될 수 있습니다. 이 업데이트에서는 더 강력한 난수 생성기를 사용하여 이 문제를 해결했습니다. 이 문제를 보고한 사람은 Trusteer의 Amit Klein입니다.

  • WebKit

    CVE-ID: CVE-2010-3813

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: WebKit에서 DNS 미리 읽기가 비활성화되어 있는 상태에서도 이를 수행할 수 있음

    설명: WebKit에서 DNS 미리 읽기를 요청하는 HTML 링크 요소가 발생할 때 미리 읽기가 비활성화되어 있는 상태에서도 이 작업을 수행합니다. 이 경우 원격 서버에 원하지 않는 요청이 발생할 수 있습니다. 예를 들어 HTML 포맷의 이메일 메시지를 보낸 사람이 이를 사용하여 메시지를 읽었는지 확인할 수 있습니다. 이 문제는 향상된 DNS 미리 읽기 요청 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Rogue Amoeba Software의 Jeff Johnson입니다.

  • WebKit

    CVE-ID: CVE-2010-3822

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 CSS 카운터 스타일을 처리할 때 포인터가 초기화되지 않는 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 CSS 카운터 스타일 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 kuzzcc입니다.

  • WebKit

    사용 대상: iPhone 3G 이후용 iOS 2.0~4.1, iPod touch (2nd generation) 이후용 iOS 2.1~4.1, iPad용 iOS 3.2~3.2.2

    영향: 사용자가 방문한 사이트가 악의적으로 제작된 웹 사이트에 노출될 수 있음

    설명: WebKit에서 CSS :visited 의사(pseudo) 클래스를 처리할 때 설계 문제가 발생합니다. 사용자가 방문한 사이트가 악의적으로 제작된 웹 사이트에 노출됩니다. 이 업데이트에서는 웹 페이지에서 사용자가 방문한 링크인지에 따라 페이지의 스타일을 지정할 수 있는 기능을 제한합니다.

  • 여러 구성요소

    CVE-ID: CVE-2010-0051, CVE-2010-0544, CVE-2010-0042, CVE-2010-1384, CVE-2010-1387, CVE-2010-1392, CVE-2010-1394, CVE-2010-1403, CVE-2010-1405, CVE-2010-1407, CVE-2010-1408, CVE-2010-1410, CVE-2010-1414, CVE-2010-1415, CVE-2010-1416, CVE-2010-1417, CVE-2010-1418, CVE-2010-1421, CVE-2010-1422, CVE-2010-1757, CVE-2010-1758, CVE-2010-1764, CVE-2010-1770, CVE-2010-1771, CVE-2010-1780, CVE-2010-1781, CVE-2010-1782, CVE-2010-1783, CVE-2010-1784, CVE-2010-1785, CVE-2010-1786, CVE-2010-1787, CVE-2010-1788, CVE-2010-1791, CVE-2010-1793, CVE-2010-1811, CVE-2010-1812, CVE-2010-1813, CVE-2010-1814, CVE-2010-1815

    사용 대상: iPad용 iOS 3.2~3.2.2

    영향: iPad용 iOS의 여러 가지 보안 수정 사항

    설명: 이 업데이트에는 iOS 4 및 iOS 4.1을 사용하는 iPhone 및 iPod touch에 제공된 여러 가지 보안 수정 사항이 포함되어 있습니다.

 

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능, 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 인터넷을 사용하는 데는 위험이 따르기 마련입니다. 자세한 내용은 공급업체에 문의하십시오. 기타 회사 및 제품 이름은 각 소유자의 상표일 수 있습니다.

게시일: