OS X Lion v10.7.3 및 보안 업데이트 2012-001의 보안 콘텐츠에 관하여

이 문서에서는 OS X Lion v10.7.3 및 보안 업데이트 2012-001의 보안 콘텐츠를 설명합니다.

이 문서에서는 소프트웨어 업데이트 환경설정 또는 Apple 다운로드를 통해 다운로드하고 설치할 수 있는 OS X Lion v10.7.3 및 보안 업데이트 2012-001의 보안 콘텐츠를 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용을 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 참조할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.
 

OS X Lion v10.7.3 및 보안 업데이트 2012-001

  • 주소록

    대상: OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 허가된 네트워크 위치에 있는 공격자가 CardDAV 데이터를 가로챌 수 있습니다.

    설명: 주소록은 CardDAV에 접근하는 데 필요한 SSL(Secure Sockets Layer)을 지원합니다. 다운그레이드 문제로 인해 주소록은 암호화된 연결 실패 시 암호화되지 않은 연결을 시도합니다. 허가된 네트워크 위치에 있는 공격자가 이 동작을 악용하여 CardDAV 데이터를 가로챌 수 있습니다. 이 문제는 사용자 승인 없이 암호화된 연결로 다운그레이드하지 않으면 해결됩니다.

    CVE-ID

    CVE-2011-3444: Oracle Corporation의 Bernard Desruisseaux

  • Apache

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: Apache에 여러 가지 취약점이 발생합니다.

    설명: 여러 가지 취약점을 해결하기 위해 Apache가 버전 2.2.21로 업데이트되었습니다. 이 중 가장 심각한 취약점으로 인해 서비스 거부가 발생할 수 있습니다. 자세한 내용은 Apache 웹 사이트(http://httpd.apache.org/)를 통해 확인할 수 있습니다.

    CVE-ID

    CVE-2011-3348

  • Apache

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 공격자가 SSL로 보호되는 데이터의 암호를 해제할 수 있습니다.

    설명: 일련의 암호가 CBC 모드에서 블록 암호를 사용할 때 SSL 3.0 및 TLS 1.0 버전의 기밀성을 침해하는 공격이 몇 가지 있습니다. Apache에서는 이러한 공격을 차단했던 '빈 프래그먼트' 보호 조치를 비활성화했습니다. 이 문제는 구성 매개변수를 제공하여 보호 조치를 제어하고, 이 보호 조치를 기본적으로 활성화하면 해결됩니다.

    CVE-ID

    CVE-2011-3389

  • ATS

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 서체 관리자에서 악의적으로 제작된 서체를 열면 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: 서체 관리자에서 데이터 서체 파일을 열어 ATS에서 처리할 때 메모리 관리 문제가 발생합니다.

    CVE-ID

    CVE-2011-3446: CERT/CC의 Will Dormann

  • CFNetwork

    대상: OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 중요한 정보가 공개될 수 있습니다.

    설명: CFNetwork에서 조작된 URL을 처리할 때 문제가 발생합니다. 악의적으로 제작된 URL에 접근할 때 CFNetwork에서 잘못된 원천 서버로 요청을 보낼 수 있습니다. 이 문제는 OS X Lion 전 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-3246: Facebook의 Erling Ellingsen

  • CFNetwork

    대상: OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 중요한 정보가 공개될 수 있습니다.

    설명: CFNetwork에서 조작된 URL을 처리할 때 문제가 발생합니다. 악의적으로 제작된 URL에 접근할 때 CFNetwork에서 예기치 않은 요청 헤더를 보낼 수 있습니다. 이 문제는 OS X Lion 전 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-3447: Facebook의 Erling Ellingsen

  • ColorSync

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: 내장된 ColorSync 프로파일을 사용하여 악의적으로 제작된 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: 내장된 ColorSync 프로파일을 사용하여 이미지를 처리할 때 정수 오버플로우가 발생합니다. 그 결과 힙 버퍼 오버플로우가 발생할 수 있습니다. 이 문제는 OS X Lion 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-0200: TippingPoint의 Zero Day Initiative를 통해 보고한 binaryproof

  • CoreAudio

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: 악의적으로 제작된 오디오 콘텐츠를 재생하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: AAC로 인코딩된 오디오 스트림을 처리할 때 버퍼 오버플로우가 발생합니다. 이 문제는 OS X Lion 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-3252: TippingPoint Zero Day Initiative의 Luigi Auriemma

  • CoreMedia

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: CoreMedia에서 H.264로 인코딩된 동영상 파일을 처리할 때 힙 버퍼 오버플로우가 발생합니다.

    CVE-ID

    CVE-2011-3448: iSEC Partners의 Scott Stender

  • CoreText

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 악의적으로 제작된 내장 서체가 포함된 문서를 보거나 다운로드하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: 서체 파일을 처리할 때 use-after-free 문제가 발생합니다.

    CVE-ID

    CVE-2011-3449: CERT/CC의 Will Dormann

  • CoreUI

    대상: OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 악성 웹 사이트를 방문하면 응용 프로그램이 갑자기 작동을 중단하거나 임의의 코드가 실행될 수 있습니다.

    설명: 긴 URL을 처리할 때 바운드되지 않은 스택 할당 문제가 발생합니다. 이 문제는 OS X Lion 전 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-3450: Ben Syverson

  • curl

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 원격 서버가 GSSAPI 요청을 통해 클라이언트로 가장할 수 있습니다.

    설명: GSSAPI 인증 수행 시 libcurl은 무조건 자격 증명 위임을 수행합니다. 이 문제는 GSSAPI 자격 증명 위임을 비활성화하면 해결됩니다.

    CVE-ID

    CVE-2011-2192

  • 데이터 보안

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 권한 있는 네트워크 위치에 있는 공격자가 사용자 자격 증명 또는 기타 중요 정보를 가로챌 수 있습니다.

    설명: 신뢰할 수 있는 루트 인증서 목록에 있는 두 인증서 기관이 중간 인증서를 DigiCert Malaysia에 독자적으로 발행했습니다. DigiCert Malaysia에서 무효화할 수 없는 취약한 키가 포함된 인증서를 발행했습니다. 허가된 네트워크 위치에 있는 공격자가 DigiCert Malaysia에서 발행한 인증서가 있는 사이트를 대상으로 사용자 자격 증명 또는 기타 기밀 정보를 가로챌 수 있습니다. 이 문제는 DigiCert Malaysia의 인증서를 신뢰하지 않도록 기본적인 시스템 신뢰 설정을 구성하면 해결됩니다. 이 문제를 보고해 주신 Entrust, Inc.의 Bruce Morton에게 감사드립니다.

  • dovecot

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 공격자가 SSL로 보호되는 데이터의 암호를 해제할 수 있습니다.

    설명: 일련의 암호가 CBC 모드에서 블록 암호를 사용할 때 SSL 3.0 및 TLS 1.0 버전의 기밀성을 침해하는 공격이 몇 가지 있습니다. Dovecot에서는 이러한 공격을 차단했던 '빈 프래그먼트' 보호 조치를 비활성화했습니다. 이 문제는 보호 조치를 활성화하면 해결됩니다.

    CVE-ID

    CVE-2011-3389: Apple

  • filecmds

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 악의적으로 제작된 압축 파일을 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: 'uncompress' 명령어 라인 도구에 버퍼 오버플로우가 발생합니다.

    CVE-ID

    CVE-2011-2895

  • ImageIO

    대상: OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 악의적으로 제작된 TIFF 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: ThunderScan으로 인코딩된 TIFF 이미지를 libTIFF에서 처리할 때 버퍼 오버플로우가 발생합니다. 이 문제는 libTIFF 버전을 3.9.5로 업데이트하면 해결됩니다.

    CVE-ID

    CVE-2011-1167

  • ImageIO

    대상: OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: libpng 1.5.4 버전에 여러 가지 취약점이 발생합니다.

    설명: 여러 가지 취약점을 해결하기 위해 libpng가 버전 1.5.5로 업데이트되었습니다. 이 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있습니다. 자세한 내용은 libpng 웹 사이트(http://www.libpng.org/pub/png/libpng.html)를 통해 확인할 수 있습니다.

    CVE-ID

    CVE-2011-3328

  • 인터넷 공유

    대상: OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 인터넷 공유를 통해 생성된 Wi-Fi 네트워크는 시스템을 업데이트하면 보안 설정을 잃을 수 있습니다.

    설명: OS X을 10.7.3 전 버전으로 업데이트하면 인터넷 공유에서 사용한 Wi-Fi 구성이 초기 설정으로 되돌아가 WEP 암호가 비활성화될 수 있습니다. 이 문제는 인터넷 공유가 활성화되어 있고 Wi-Fi와 연결을 공유하는 시스템에만 영향을 줍니다. 이 문제는 시스템이 업데이트되는 동안 Wi-Fi 구성을 유지하면 해결됩니다.

    CVE-ID

    CVE-2011-3452: 익명의 연구원

  • Libinfo

    대상: OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 악의적으로 제작된 웹 사이트를 방문하면 중요한 정보가 공개될 수 있습니다.

    설명: Libinfo에서 호스트 이름 조회 요청을 처리할 때 문제가 발생합니다. Libinfo에서 악의적으로 제작된 호스트 이름에 대한 결과를 잘못 반환할 수 있습니다. 이 문제는 OS X Lion 전 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-3441: Facebook의 Erling Ellingsen

  • libresolv

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: OS X의 libresolve 라이브러리를 사용하는 응용 프로그램은 예기치 않은 응용 프로그램 종료나 임의 코드 실행에 취약할 수 있습니다.

    설명: DNS 리소스 레코드를 파싱할 때 정수 오버플로우가 발생합니다. 그 결과 힙 메모리가 손상될 수 있습니다.

    CVE-ID

    CVE-2011-3453: IOActive의 Ilja van Sprundel

  • libsecurity

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 일부 EV 인증서는 해당하는 루트가 신뢰할 수 없음으로 표시되어 있어도 신뢰됩니다.

    설명: 루트 인증서가 알려진 EV 발행자의 목록에 있고 사용자가 키체인에서 이 루트 인증서를 '절대 신뢰할 수 없음'으로 표시했다고 하더라도 인증서 코드는 루트 인증서를 신뢰하여 EV 인증서에 서명합니다. 루트는 EV가 아닌 인증서 서명에 대해 신뢰되지 않습니다.

    CVE-ID

    CVE-2011-3422: Alastair Houghton

  • OpenGL

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: OS X의 OpenGL 구현을 사용하는 응용 프로그램은 예기치 않은 응용 프로그램 종료나 임의 코드 실행에 취약할 수 있습니다.

    설명: GLSL 컴파일을 처리할 때 여러 가지 메모리 손상 문제가 발생합니다.

    CVE-ID

    CVE-2011-3457: Google Chrome 보안 팀의 Chris Evans 및 Red Hat 보안 응답 팀의 Marc Schoenefeld

  • PHP

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: PHP 5.3.6 버전에 여러 가지 취약점이 발생합니다.

    설명: 여러 취약점을 해결하기 위해 PHP가 버전 5.3.8로 업데이트되었습니다. 이 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있습니다. 자세한 내용은 PHP 웹 사이트(http://www.php.net)를 통해 확인할 수 있습니다.

    CVE-ID

    CVE-2011-1148

    CVE-2011-1657

    CVE-2011-1938

    CVE-2011-2202

    CVE-2011-2483

    CVE-2011-3182

    CVE-2011-3189

    CVE-2011-3267

    CVE-2011-3268

  • PHP

    대상: OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 악의적으로 제작된 PDF 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: FreeType에서 Type 1 서체를 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 FreeType을 버전 2.4.7로 업데이트하면 해결됩니다. 자세한 내용은 FreeType 사이트(http://www.freetype.org/)를 통해 확인할 수 있습니다.

    CVE-ID

    CVE-2011-3256: Apple

  • PHP

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: libpng 1.5.4 버전에 여러 가지 취약점이 발생합니다.

    설명: 여러 가지 취약점을 해결하기 위해 libpng가 버전 1.5.5로 업데이트되었습니다. 이 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있습니다. 자세한 내용은 libpng 웹 사이트(http://www.libpng.org/pub/png/libpng.html)를 통해 확인할 수 있습니다.

    CVE-ID

    CVE-2011-3328

  • QuickTime

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 악의적으로 제작되어 MP4로 인코딩된 파일을 여는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: MP4로 인코딩된 파일을 처리할 때 메모리 액세스가 초기화되지 않는 문제가 발생합니다.

    CVE-ID

    CVE-2011-3458: TippingPoint Zero Day Initiative의 Luigi Auriemma 및 pa_kt

  • QuickTime

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: QuickTime 동영상 파일에 내장된 서체 테이블을 처리할 때 signedness 문제가 발생합니다.

    CVE-ID

    CVE-2011-3248: TippingPoint ZDI(Zero Day Initiative)의 Luigi Auriemma

  • QuickTime

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: QuickTime 동영상 파일에서 rdrf atoms를 처리할 때 Off-By-One 버퍼 오버플로우가 발생합니다.

    CVE-ID

    CVE-2011-3459: TippingPoint Zero Day Initiative의 Luigi Auriemma

  • QuickTime

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 악의적으로 제작된 JPEG2000 이미지 파일을 보면 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: JPEG2000 파일을 처리할 때 버퍼 오버플로우가 발생합니다.

    CVE-ID

    CVE-2011-3250: TippingPoint ZDI(Zero Day Initiative)의 Luigi Auriemma

  • QuickTime

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 악의적으로 제작된 PNG 이미지를 처리하면 응용 프로그램이 예기치 않게 중단되거나 임의의 코드가 실행될 수 있습니다.

    설명: PNG 파일을 처리할 때 버퍼 오버플로우가 발생합니다.

    CVE-ID

    CVE-2011-3460: TippingPoint Zero Day Initiative의 Luigi Auriemma

  • QuickTime

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: FLC로 인코딩된 동영상 파일을 처리할 때 버퍼 오버플로우가 발생합니다.

    CVE-ID

    CVE-2011-3249: TippingPoint Zero Day Initiative의 Matt 'j00ru' Jurczyk

  • SquirrelMail

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: SquirrelMail에 여러 가지 취약점이 발생합니다.

    설명: 여러 가지 취약점을 해결하기 위해 SquirrelMail이 버전 1.4.22로 업데이트되었습니다. 이 중에 가장 심각한 취약점으로 인해 크로스 사이트 스크립팅 문제가 발생할 수 있습니다. 이 문제는 OS X Lion 시스템에 영향을 주지 않습니다. 자세한 정보는 SquirrelMail 웹 사이트(http://www.SquirrelMail.org/)를 통해 확인할 수 있습니다.

    CVE-ID

    CVE-2010-1637

    CVE-2010-2813

    CVE-2010-4554

    CVE-2010-4555

    CVE-2011-2023

  • Subversion

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: Subversion 저장소에 접근하면 중요한 정보가 공개될 수 있습니다.

    설명: 여러 가지 취약점을 해결하기 위해 Subversion이 버전 1.6.17로 업데이트되었습니다. 이 중에 가장 심각한 취약점으로 인해 중요한 정보가 공개될 수 있습니다. 자세한 내용은 Subversion 웹 사이트(http://subversion.apache.org/)를 통해 확인할 수 있습니다.

    CVE-ID

    CVE-2011-1752

    CVE-2011-1783

    CVE-2011-1921

  • Time Machine

    대상: OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 원격 공격자가 사용자의 시스템에서 생성된 새로운 백업에 접근할 수 있습니다.

    설명: 사용자가 원격 AFP 볼륨 또는 Time Capsule이 Time Machine 백업에 사용되도록 지정할 수 있습니다. Time Machine은 연속적인 백업 작업에 동일한 장비가 사용되는지 확인하지 않습니다. 원격 볼륨을 스푸핑할 수 있는 공격자는 접근 권한을 얻게 되어 사용자의 시스템에서 생성된 새로운 백업에 접근할 수 있습니다. 이 문제는 백업 작업에 사용되는 디스크와 관련된 고유 식별자를 확인하면 해결됩니다.

    CVE-ID

    CVE-2011-3462: Technische Universität Dresden의 Michael Roitzsch

  • Tomcat

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    영향: Tomcat 6.0.32 버전에 여러 가지 취약점이 발생합니다.

    설명: 여러 가지 취약점을 해결하기 위해 Tomcat이 버전 6.0.33으로 업데이트되었습니다. 이 중에 가장 심각한 취약점으로 인해 중요한 정보가 공개될 수 있습니다. Tomcat은 Mac OS X Server 시스템에서만 제공됩니다. 이 문제는 OS X Lion 시스템에 영향을 주지 않습니다. 자세한 내용은 Tomcat 사이트(http://tomcat.apache.org/)를 통해 확인할 수 있습니다.

    CVE-ID

    CVE-2011-2204

  • WebDAV 공유

    대상: OS X Lion Server v10.7~v10.7.2

    영향: 로컬 사용자가 시스템 권한을 얻을 수 있습니다.

    설명: WebDAV 공유에서 사용자 인증을 처리할 때 문제가 발생합니다. 서버에 유효한 계정이 있거나 해당 바운드 디렉토리 중 하나를 보유한 사용자는 시스템 권한을 통해 임의 코드를 실행할 수 있습니다. 이 문제는 OS X Lion 전 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2011-3463: Crywolf의 Gordon Davisson

  • Webmail

    대상: OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 악의적으로 제작된 이메일 메시지를 보면 메시지 내용이 공개될 수 있습니다.

    설명: 메일 메시지를 처리할 때 교차 사이트 스크립팅 취약점이 발생합니다. 이 문제는 Roundcube Webmail을 버전 0.6으로 업데이트하면 해결됩니다. 이 문제는 OS X Lion 전 시스템에는 영향을 주지 않습니다. 자세한 내용은 Roundcube 사이트(http://trac.roundcube.net/)를 통해 확인할 수 있습니다.

    CVE-ID

    CVE-2011-2937

  • X11

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7~v10.7.2, OS X Lion Server v10.7~v10.7.2

    영향: 악의적으로 제작된 PDF 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: FreeType에서 Type 1 서체를 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 FreeType을 버전 2.4.7로 업데이트하면 해결됩니다. 자세한 내용은 FreeType 사이트(http://www.freetype.org/)를 통해 확인할 수 있습니다.

    CVE-ID

    CVE-2011-3256: Apple

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능, 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 인터넷을 사용하는 데는 위험이 따르기 마련입니다. 자세한 내용은 공급업체에 문의하십시오. 기타 회사 및 제품 이름은 각 소유자의 상표일 수 있습니다.

게시일: