OS X Lion v10.7.2 및 보안 업데이트 2011-006의 보안 콘텐츠에 관하여

이 문서에서는 OS X Lion v10.7.2 및 보안 업데이트 2011-006의 보안 콘텐츠에 대해 설명합니다.

이 문서에서는 소프트웨어 업데이트 환경설정 또는 Apple 다운로드를 통해 다운로드하여 설치할 수 있는 OS X Lion v10.7.2 및 보안 업데이트 2011-006의 보안 콘텐츠에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용을 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.
 

OS X Lion v10.7.2 및 보안 업데이트 2011-006

  • Apache

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: Apache의 여러 가지 취약점

    설명: 여러 가지 취약점을 해결하기 위해 Apache가 2.2.20 버전으로 업데이트되었습니다. 이 중 가장 심각한 취약점으로 인해 서비스 거부가 발생할 수 있습니다. CVE-2011-0419는 OS X Lion 시스템에 영향을 미치지 않습니다. 자세한 내용은 Apache 웹 사이트(http://httpd.apache.org/)를 통해 확인할 수 있습니다.

    CVE-ID

    CVE-2011-0419

    CVE-2011-3192

  • 응용 프로그램 방화벽

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 악의적으로 제작된 이름을 가진 바이너리를 실행하면 상승된 권한을 사용하여 임의 코드가 실행될 수 있음

    설명: 응용 프로그램 방화벽의 디버그 로깅에서 포맷 스트링 취약점이 발생합니다.

    CVE-ID

    CVE-2011-0185: 익명의 보고자

  • ATS

    대상: OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 악의적으로 제작된 내장 서체가 포함된 문서를 보거나 다운로드하는 경우 임의 코드가 실행될 수 있음

    설명: ATS에서 Type 1 서체를 처리할 때 signedness 문제가 발생합니다. 이 문제는 OS X Lion 이전 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-3437

  • ATS

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: 악의적으로 제작된 내장 서체가 포함된 문서를 보거나 다운로드하는 경우 임의 코드가 실행될 수 있음

    설명: ATS에서 Type 1 서체를 처리할 때 메모리 접근 범위를 벗어나는 문제가 발생합니다. 이 문제는 OS X Lion 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-0229: CERT/CC의 Will Dormann

  • ATS

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: ATSFontDeactivate API를 사용하는 응용 프로그램은 예기치 않은 응용 프로그램 종료나 임의 코드 실행에 취약할 수 있음

    설명: ATSFontDeactivate API에서 버퍼 오버플로우 문제가 발생합니다.

    CVE-ID

    CVE-2011-0230: Mozilla의 Steven Michaud

  • BIND

    대상: OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: BIND 9.7.3의 여러 가지 취약점

    설명: BIND 9.7.3에서 여러 가지 서비스 거부 문제가 발생합니다. 이러한 문제는 BIND를 9.7.3-P3 버전으로 업데이트하면 해결됩니다.

    CVE-ID

    CVE-2011-1910

    CVE-2011-2464

  • BIND

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: BIND의 여러 가지 취약점

    설명: BIND에서 여러 가지 서비스 거부 문제가 발생합니다. 이러한 문제는 BIND를 9.6-ESV-R4-P3 버전으로 업데이트하면 해결됩니다.

    CVE-ID

    CVE-2009-4022

    CVE-2010-0097

    CVE-2010-3613

    CVE-2010-3614

    CVE-2011-1910

    CVE-2011-2464

  • 인증 신뢰 정책

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 루트 인증서가 업데이트되었음

    설명: 신뢰할 수 있는 인증서 몇 개가 시스템 루트 목록에 추가되었습니다. 기존 인증서 몇 개가 최신 버전으로 업데이트되었습니다. 키체인 접근 응용 프로그램을 통해 인식된 시스템 루트의 전체 목록을 볼 수 있습니다.

  • CFNetwork

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: Safari에서 쿠키를 허용하지 않도록 구성했지만 쿠키가 저장될 수 있음

    설명: CFNetwork에서 쿠키 정책을 처리할 때 동기화 문제가 발생합니다. Safari의 쿠키 환경설정이 제대로 적용되지 않아 환경설정에서 차단된 쿠키가 웹 사이트를 통해 설정될 수 있습니다. 이 업데이트에서는 쿠키 저장 처리를 개선하여 문제를 해결합니다.

    CVE-ID

    CVE-2011-0231: Martin Tessarek, Geeks R Us의 Stevee Riggins, Justin C. Walker, Stephen Creswell

  • CFNetwork

    대상: OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 악의적으로 제작된 웹 사이트를 방문하면 중요한 정보가 공개될 수 있음

    설명: CFNetwork에서 HTTP 쿠키를 처리할 때 문제가 발생합니다. 악의적으로 제작된 HTTP 또는 HTTPS URL에 접근할 경우 CFNetwork에서 임의의 도메인에 대한 쿠키를 해당 도메인 외부에 있는 서버로 잘못 전송할 수 있습니다. 이 문제는 OS X Lion 이전 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-3246: Facebook의 Erling Ellingsen

  • CoreFoundation

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: 악의적으로 제작된 웹 사이트 또는 이메일 메시지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: CoreFoundation에서 문자열 토큰화를 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 OS X Lion 시스템에 영향을 주지 않습니다. 이 업데이트는 향상된 경계 검사를 통해 이 문제를 해결합니다.

    CVE-ID

    CVE-2011-0259: Apple

  • CoreMedia

    대상: OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 악의적으로 제작된 웹 사이트를 방문하면 다른 사이트의 비디오 데이터가 공개될 수 있음

    설명: CoreMedia에서 크로스 사이트 재이동을 처리할 때 출처 간 문제가 발생합니다. 이 문제는 향상된 출처 추적 기능을 통해 해결됩니다.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai 및 MSVR(Microsoft Vulnerability Research)

  • CoreMedia

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QuickTime 동영상 파일을 처리할 때 여러 가지 메모리 손상 문제가 발생합니다. 이러한 문제는 OS X Lion 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-0224: Apple

  • CoreProcesses

    대상: OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 시스템에 대한 물리적 접근 권한을 가진 사람이 화면 잠금을 부분적으로 우회할 수 있음

    설명: 화면이 잠겨 있는 동안 표시되는 시스템 윈도우(예: VPN 암호 프롬프트)에서 키 입력을 허용할 수 있습니다. 이 문제는 화면이 잠겨 있을 때 시스템 윈도우가 키 입력을 요구하지 않도록 하면 해결됩니다. 이 문제는 OS X Lion 이전 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-0260: University of Washington의 Clint Tseng, Michael Kobb, Adam Kemp

  • CoreStorage

    대상: OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: FileVault로 변환해도 기존 데이터가 모두 지워지지 않음

    설명: FileVault를 활성화한 후, 볼륨 시작 부분의 약 250MB가 사용되지 않는 디스크 영역에 암호화되지 않은 상태로 남아 있습니다. FileVault를 활성화하기 전에 볼륨에 있었던 데이터만 암호화되지 않은 상태로 남아 있습니다. 이 문제에 영향을 받는 암호화된 볼륨의 처음 사용에서 FileVault를 활성할 때 이 영역을 지우면 이 문제는 해결됩니다. 이 문제는 OS X Lion 이전 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-3212: ATC-NY의 Judson Powers

  • 파일 시스템

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 네트워크에서 특별한 위치에 있는 공격자가 HTTPS 서버 인증서를 조작하는 경우 민감한 정보가 공개될 수 있음

    설명: HTTPS 서버에서 WebDAV 볼륨을 처리할 때 문제가 발생합니다. 서버가 제공한 인증서 체인을 자동으로 확인할 수 없는 경우 경고가 표시되고 연결이 종료됩니다. 사용자가 경고 대화상자에서 '계속'을 클릭하고 이후에 서버에 연결하면 모든 인증서가 승인됩니다. 네트워크에서 특별한 위치에 있는 공격자가 민감한 정보를 확보하거나 사용자를 대신해 서버에서 작업을 수행하기 위해 연결을 조작했을 수 있습니다. 이 업데이트에서는 두 번째 연결에서 수신된 인증서가 원래 사용자에게 제공된 인증서와 동일한지 확인하여 문제를 해결합니다.

    CVE-ID

    CVE-2011-3213: Apple

  • IOGraphics

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: 물리적 접근 권한을 가진 사람이 화면 잠금을 우회할 수 있음

    설명: Apple Cinema Display에서 화면 잠금을 사용할 때 문제가 발생합니다. 시스템이 디스플레이 잠자기 모드에 있고 암호를 입력해야만 잠자기에서 깨어나는 경우 시스템에 물리적으로 접근할 수 있는 사람은 암호를 입력하지 않고도 시스템에 대한 접근이 가능할 수 있습니다. 이 업데이트에서는 디스플레이 잠자기 모드에서 화면 잠금을 올바르게 활성화하여 문제를 해결합니다. 이 문제는 OS X Lion 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-3214: Apple

  • iChat 서버

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: Jabber 서버가 시스템 리소스를 불균형하게 사용하도록 원격 공격자가 조작할 수 있음

    설명: XMPP(Extensible Messaging and Presence Protocol)의 서버인 jabberd2에서 XML 외부 엔터티를 처리할 때 문제가 발생합니다. jabberd2는 수신된 요청에 포함된 외부 엔터티를 확장합니다. 공격자가 이를 이용해서 시스템 리소스를 아주 빠르게 소모하면 합법적인 서버 사용자에게는 서비스가 거부될 수 있습니다. 이 업데이트에서는 수신된 요청에서 엔터티 확장을 비활성화하여 문제를 해결합니다.

    CVE-ID

    CVE-2011-1755

  • 커널

    대상: OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 물리적 접근 권한을 가진 사람이 사용자의 암호에 접근할 수 있음

    설명: 커널의 DMA 보호에서 논리 오류가 발생하여 로그인 윈도우, 부팅, 시스템 종료 시 firewire DMA가 허용됩니다. 단, 화면 잠금 시에는 허용되지 않습니다. 이 업데이트에서는 사용자가 로그인하지 않은 모든 상태에서 firewire DMA를 차단하여 문제를 해결합니다.

    CVE-ID

    CVE-2011-3215: Passware, Inc.

  • 커널

    대상: OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 허가되지 않은 사용자가 공유 디렉토리에 있는 다른 사용자의 파일을 삭제할 수 있음

    설명: 커널에서 sticky bit로 설정된 디렉토리의 파일 삭제를 처리할 때 논리 오류가 발생합니다.

    CVE-ID

    CVE-2011-3216: Crywolf의 Gordon Davisson, Linc Davis, R. Dormer, brainworks Training의 Allan Schmid와 Oliver Jeckel

  • libsecurity

    대상: OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 악의적으로 제작된 웹 사이트 또는 이메일 메시지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 비표준 인증서 해지 목록의 확장 요소를 분석할 때 오류 처리 문제가 발생합니다.

    CVE-ID

    CVE-2011-3227: Virginia Tech의 Richard Godbee

  • Mailman

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: Mailman 2.1.14의 여러 가지 취약점

    설명: Mailman 2.1.14에서 여러 가지 크로스 사이트 스크립팅 문제가 발생합니다. 이러한 문제는 HTML 출력의 문자 인코딩을 개선함으로써 해결됩니다. 자세한 내용은 Mailman 사이트(http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html)에서 확인할 수 있습니다. 이 문제는 OS X Lion 시스템에 영향을 미치지 않습니다.

    CVE-ID

    CVE-2011-0707

  • MediaKit

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: 악의적으로 제작된 디스크 이미지를 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 디스크 이미지를 처리할 때 여러 가지 메모리 손상 문제가 발생합니다. 이러한 문제는 OS X Lion 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-3217: Apple

  • Open Directory

    대상: OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 임의의 사용자가 다른 로컬 사용자의 암호 데이터를 읽을 수 있음

    설명: Open Directory에서 접근 제어 문제가 발생합니다. 이 문제는 OS X Lion 이전 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-3435: Dreyer Network Consultants, Inc의 Arek Dreyer와 defenseindepth.net의 Patrick Dunstan

  • Open Directory

    대상: OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 인증된 사용자가 현재 암호를 제공하지 않고도 해당 계정의 암호를 변경할 수 있음

    설명: Open Directory에서 접근 제어 문제가 발생합니다. 이 문제는 OS X Lion 이전 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-3436: defenceindepth.net의 Patrick Dunstan

  • Open Directory

    대상: OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 사용자가 암호 없이 로그인할 수 있음

    설명: Open Directory가 RFC2307 또는 사용자 지정 매핑을 사용하여 LDAPv3 서버에 바인딩되어 있어 사용자에 대한 AuthenticationAuthority 속성이 없는 경우, LDAP 사용자가 암호 없이 로그인하도록 허용될 수 있습니다. 이 문제는 OS X Lion 이전 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-3226: University of Texas at Austin의 Jeffry Strunk, Colorado Mesa University의 Steven Eppler, Hugh Cole-Baker, Institut de Biologie Structurale의 Frederic Metoz

  • PHP

    대상: OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 악의적으로 제작된 PDF 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: FreeType에서 Type 1 서체를 처리할 때 signedness 문제가 발생합니다. 이 문제는 FreeType을 2.4.6 버전으로 업데이트하면 해결됩니다. 이 문제는 OS X Lion 이전 시스템에는 영향을 미치지 않습니다. 자세한 내용은 FreeType 사이트(http://www.freetype.org)를 참조하십시오.

    CVE-ID

    CVE-2011-0226

  • PHP

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: libpng 1.4.3의 여러 가지 취약점

    설명: 여러 가지 취약점을 해결하기 위해 libpng가 1.5.4 버전으로 업데이트되었습니다. 이 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있습니다. 자세한 내용은 libpng 웹 사이트(http://www.libpng.org/pub/png/libpng.html)을 통해 확인할 수 있습니다.

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

  • PHP

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: PHP 5.3.4의 여러 가지 취약점

    설명: 여러 가지 취약점을 해결하기 위해 PHP가 5.3.6 버전으로 업데이트되었습니다. 이 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있습니다. 이 문제는 OS X Lion 시스템에 영향을 미치지 않습니다. 자세한 내용은 PHP 웹 사이트(http://www.php.net/)에서 확인할 수 있습니다.

    CVE-ID

    CVE-2010-3436

    CVE-2010-4645

    CVE-2011-0420

    CVE-2011-0421

    CVE-2011-0708

    CVE-2011-1092

    CVE-2011-1153

    CVE-2011-1466

    CVE-2011-1467

    CVE-2011-1468

    CVE-2011-1469

    CVE-2011-1470

    CVE-2011-1471

  • Postfix

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: Postfix의 여러 가지 취약점

    설명: 여러 가지 취약점을 해결하기 위해 Postfix가 2.5.14 버전으로 업데이트되었습니다. 이 중 가장 심각한 취약점으로 인해 네트워크에서 특별한 위치에 있는 공격자가 메일 세션을 조작하여 암호화된 트래픽에서 중요한 정보를 확보할 수도 있습니다. 이러한 문제는 OS X Lion 시스템에 영향을 미치지 않습니다. 추가 정보는 Postfix 사이트(http://www.postfix.org/announcements/postfix-2.7.3.html)에서 확인할 수 있습니다.

    CVE-ID

    CVE-2011-0411

    CVE-2011-1720

  • python

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: Python의 여러 가지 취약점

    설명: Python의 여러 가지 취약점 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있습니다. 이 업데이트는 Python 프로젝트 패치를 적용하여 문제를 해결합니다. 추가 정보는 Python 사이트(http://www.python.org/download/releases/)에서 확인할 수 있습니다.

    CVE-ID

    CVE-2010-1634

    CVE-2010-2089

    CVE-2011-1521

  • QuickTime

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QuickTime에서 동영상 파일을 처리할 때 여러 가지 메모리 손상 문제가 발생합니다.

    CVE-ID

    CVE-2011-3228: Apple

  • QuickTime

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QuickTime 동영상 파일에서 STSC atom을 처리할 때 힙 버퍼 오버플로우가 발생합니다. 이 문제는 OS X Lion 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-0249: TippingPoint의 Zero Day Initiative에 참여 중인 Matt 'j00ru' Jurczyk

  • QuickTime

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QuickTime 동영상 파일에서 STSS atom을 처리할 때 힙 버퍼 오버플로우가 발생합니다. 이 문제는 OS X Lion 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-0250: TippingPoint ZDI(Zero Day Initiative)의 Matt 'j00ru' Jurczyk

  • QuickTime

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QuickTime 동영상 파일에서 STSZ atom을 처리할 때 힙 버퍼 오버플로우가 발생합니다. 이 문제는 OS X Lion 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-0251: TippingPoint ZDI(Zero Day Initiative)의 Matt 'j00ru' Jurczyk

  • QuickTime

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QuickTime 동영상 파일에서 STTS atom을 처리할 때 힙 버퍼 오버플로우가 발생합니다. 이 문제는 OS X Lion 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-0252: TippingPoint ZDI(Zero Day Initiative)의 Matt 'j00ru' Jurczyk

  • QuickTime

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: 템플릿 HTML을 볼 때 네트워크에서 특별한 위치에 있는 공격자가 로컬 도메인에 스크립트를 삽입할 수 있음

    설명: QuickTime Player에서 '웹용으로 저장' 기능을 사용하여 내보내면 크로스 사이트 스크립팅 문제가 발생합니다. 이 기능으로 생성한 템플릿 HTML 파일이 암호화되지 않은 출처의 스크립트 파일을 참조합니다. 사용자가 로컬에서 템플릿 파일을 볼 경우 네트워크에서 특별한 위치에 있는 공격자가 로컬 도메인에 악의적인 스크립트를 삽입할 수 있습니다. 이 문제는 온라인 스크립트에 대한 참조를 제거하면 해결됩니다. 이 문제는 OS X Lion 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-3218: vtty.com의 Aaron Sigel

  • QuickTime

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QuickTime에서 H.264로 인코딩된 동영상 파일을 처리할 때 버퍼 오버플로우가 발생합니다.

    CVE-ID

    CVE-2011-3219: TippingPoint ZDI(Zero Day Initiative)의 Damian Put

  • QuickTime

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 악의적으로 제작된 동영상 파일을 보면 메모리 콘텐츠가 공개될 수 있음

    설명: QuickTime에서 동영상 파일 내의 URL 데이터 핸들러를 처리할 때 메모리 접근이 초기화되지 않는 문제가 발생합니다.

    CVE-ID

    CVE-2011-3220: TippingPoint ZDI(Zero Day Initiative)의 Luigi Auriemma

  • QuickTime

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QuickTime에서 동영상 파일 내의 atom 계층 구조를 처리할 때 구현 문제가 발생합니다.

    CVE-ID

    CVE-2011-3221: TippingPoint ZDI(Zero Day Initiative)의 익명의 연구원

  • QuickTime

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 악의적으로 제작된 FlashPix 파일을 보면 응용 프로그램이 예상치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QuickTime에서 FlashPix 파일을 처리할 때 버퍼 오버플로우가 발생합니다.

    CVE-ID

    CVE-2011-3222: TippingPoint ZDI(Zero Day Initiative)의 Damian Put

  • QuickTime

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QuickTime에서 FLIC 파일을 처리할 때 버퍼 오버플로우가 발생합니다.

    CVE-ID

    CVE-2011-3223: TippingPoint ZDI(Zero Day Initiative)의 Matt 'j00ru' Jurczyk

  • SMB File Server

    대상: OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: 방문자가 공유 폴더를 탐색할 수 있음

    설명: SMB 파일 서버에서 접근 제어 문제가 발생합니다. 방문객이 폴더의 공유 포인트 레코드에 접근하도록 허용하지 않았습니다. 이때 '_unknown' 사용자는 공유 포인트를 탐색할 수 없도록 차단되었지만 방문객(사용자 'nobody')은 차단되지 않았습니다. 이 문제는 방문 사용자에게 접근 제어를 적용하면 해결됩니다. 이 문제는 OS X Lion 이전 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-3225

  • Tomcat

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: Tomcat 6.0.24의 여러 취약점

    설명: 여러 취약점을 해결하기 위해 Tomcat이 6.0.32 버전으로 업데이트되었습니다. 이 중 가장 심각한 취약점으로 인해 크로스 사이트 스크립팅이 발생할 수 있습니다. Tomcat은 Mac OS X Server 시스템에서만 제공됩니다. 이 문제는 OS X Lion 시스템에 영향을 주지 않습니다. 자세한 내용은 Tomcat 사이트(http://tomcat.apache.org/)를 참조하십시오.

    CVE-ID

    CVE-2010-1157

    CVE-2010-2227

    CVE-2010-3718

    CVE-2010-4172

    CVE-2011-0013

    CVE-2011-0534

  • 사용자 문서

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: 네트워크에서 특별한 위치에 있는 공격자가 App Store 도움말 콘텐츠를 조작하여 임의 코드를 실행할 수 있음

    설명: App Store 도움말 콘텐츠가 HTTP를 통해 업데이트됩니다. 이 업데이트에서는 HTTPS를 통해 App Store 도움말 콘텐츠를 업데이트하여 문제를 해결합니다. 이 문제는 OS X Lion 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-3224: vtty.com의 Aaron Sigel 및 Brian Mastenbrook

  • 웹 서버

    대상: Mac OS X Server v10.6.8

    영향: 클라이언트가 다이제스트 인증을 요구하는 웹 서비스에 접근하지 못할 수 있음

    설명: HTTP 다이제스트 인증을 처리할 때 발생하는 문제가 해결되었습니다. 서버 구성이 접근을 허용하는데도 사용자가 서버의 리소스에 접근하지 못할 수 있습니다. 이 문제는 보안 위험을 나타내지 않으며, 보다 강력한 인증 메커니즘을 사용할 수 있도록 해결되었습니다. 이 문제는 OS X Lion Server를 실행하는 시스템에는 영향을 미치지 않습니다.

  • X11

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 및 v10.7.1, OS X Lion Server v10.7 및 v10.7.1

    영향: libpng의 여러 가지 취약점

    설명: libpng의 여러 가지 취약점 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있습니다. 이러한 문제는 OS Lion 시스템일 경우 libpng를 1.5.4 버전으로 업데이트하거나, Mac OS X v10.6 시스템일 경우 1.2.46 버전으로 업데이트하면 해결됩니다. 자세한 내용은 libpng 웹 사이트(http://www.libpng.org/pub/png/libpng.html)를 통해 확인할 수 있습니다.

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능, 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 인터넷을 사용하는 데는 위험이 따르기 마련입니다. 자세한 내용은 공급업체에 문의하십시오. 기타 회사 및 제품 이름은 각 소유자의 상표일 수 있습니다.

게시일: