이 문서에서는 iTunes를 사용하여 다운로드 및 설치할 수 있는 iOS 5.1 소프트웨어 업데이트의 보안 콘텐츠에 대해 설명합니다.
Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용을 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.
Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.
가능한 경우 CVE ID로 취약성에 대한 추가 정보를 참조할 수 있습니다.
다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.
iOS 5.1 소프트웨어 업데이트
-
CFNetwork
대상: iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3rd generation) 이후 제품, iPad, iPad 2
영향: 악의적으로 제작된 웹 사이트를 방문하면 중요한 정보가 공개될 수 있음
설명: CFNetwork에서 조작된 URL을 처리할 때 문제가 발생합니다. 악의적으로 제작된 URL에 액세스할 때 CFNetwork에서 예기치 않은 요청 헤더를 보낼 수 있습니다.
CVE-ID
CVE-2012-0641: Facebook의 Erling Ellingsen
-
HFS
대상: iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3rd generation) 이후 제품, iPad, iPad 2
영향: 악의적으로 제작된 디스크 이미지를 마운트하면 장비가 종료되거나 임의 코드가 실행될 수 있습니다.
설명: HFS 카탈로그 파일을 처리할 때 정수 오버플로우가 발생합니다.
CVE-ID
CVE-2012-0642: pod2g
-
커널
대상: iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3rd generation) 이후 제품, iPad, iPad 2
영향: 악성 프로그램이 샌드박스 제한을 우회할 수 있습니다.
설명: 디버그 시스템 호출을 처리할 때 논리 문제가 발생합니다. 이로 인해 악성 프로그램이 동일한 사용자 권한으로 다른 프로그램에서 코드를 실행할 수 있습니다.
CVE-ID
CVE-2012-0643: 2012 iOS Jailbreak Dream Team
-
libresolv
대상: iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3rd generation) 이후 제품, iPad, iPad 2
영향: libresolve 라이브러리를 사용하는 응용 프로그램이 예기치 않은 응용 프로그램 종료나 임의 코드 실행에 취약할 수 있습니다.
설명: DNS 리소스 레코드를 처리할 때 정수 오버플로우가 발생합니다. 그 결과 힙 메모리가 손상될 수 있습니다.
CVE-ID
CVE-2011-3453: IOActive의 Ilja van Sprundel
-
암호 잠금
대상: iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3rd generation) 이후 제품, iPad, iPad 2
영향: 장비에 실제로 액세스할 수 있는 사람이 화면 잠금을 우회할 수 있음
설명: 밀어서 전화를 거는 동작을 처리할 때 경쟁 조건 문제가 발생합니다. 이로 인해 장비에 대한 물리적 접근 권한을 가진 사람이 암호 잠금 화면을 우회할 수 있습니다.
CVE-ID
CVE-2012-0644: German Federal Ministry of Economics and Technology의 Roland Kohler
-
Safari
대상: iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3rd generation) 이후 제품, iPad, iPad 2
영향: 개인정보 보호 브라우징이 활성화 상태일지라도 웹 페이지 방문이 방문 기록에 기록될 수 있습니다.
설명: Safari의 개인정보 보호 브라우징은 브라우징 세션이 기록되는 것을 방지하기 위해 고안되었습니다. 개인정보 보호 브라우징 모드가 활성화 상태일지라도 JavaScript 메서드인 pushState 또는 replaceState를 사용하여 사이트를 방문한 경우 해당 페이지가 방문 기록에 기록됩니다. 이 문제는 개인정보 보호 브라우징이 활성화 상태일 때 그러한 방문 기록을 기록하지 않으면 해결됩니다.
CVE-ID
CVE-2012-0585: American Express의 Eric Melville
-
Siri
대상: iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3rd generation) 이후 제품, iPad, iPad 2
영향: 잠긴 전화기에 대한 물리적 접근 권한을 가진 공격자는 전면에 있는 이메일 메시지에 액세스할 수 있습니다.
설명: Siri의 잠금 화면 제한에 설계 문제가 발생합니다. 잠금 화면에서 Siri가 사용되도록 활성화되어 있고 메시지가 잠금 화면 뒤에 선택된 상태에서 Mail이 열려 있으면 음성 명령으로 해당 메시지를 임의의 사용자에게 보낼 수 있습니다. 이 문제는 잠금 화면에서 활성 메시지 전달 기능을 비활성화하면 해결됩니다.
CVE-ID
CVE-2012-0645
-
VPN
대상: iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3rd generation) 이후 제품, iPad, iPad 2
영향: 악의적으로 제작된 시스템 구성 파일은 시스템 권한을 사용하여 임의 코드를 실행할 수 있습니다.
설명: racoon 구성 파일을 처리할 때 형식 문자열 취약점이 발생합니다.
CVE-ID
CVE-2012-0646: pod2g
-
WebKit
대상: iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3rd generation) 이후 제품, iPad, iPad 2
영향: 악의적으로 제작된 웹 사이트를 방문하면 쿠키가 공개될 수 있습니다.
설명: WebKit에서 출처 간 문제가 발생하여 출처 간에 쿠키가 공개될 수 있습니다.
CVE-ID
CVE-2011-3887: Sergey Glazunov
-
WebKit
대상: iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3rd generation) 이후 제품, iPad, iPad 2
영향: 악의적으로 제작된 웹 사이트를 방문하고 마우스를 사용하여 콘텐츠를 드래그하면 교차 사이트 스크립팅 공격을 당할 수 있습니다.
설명: WebKit에서 출처 간 문제가 발생하여 원본 간에 콘텐츠를 드래그 앤 드롭할 수 있습니다.
CVE-ID
CVE-2012-0590: Google Chrome 보안 팀의 Adam Barth
-
WebKit
대상: iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3rd generation) 이후 제품, iPad, iPad 2
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 크로스 사이트 스크립팅 공격을 당할 수 있습니다.
설명: WebKit에 여러 출처 간 문제가 발생합니다.
CVE-ID
CVE-2011-3881: Sergey Glazunov
CVE-2012-0586: Sergey Glazunov
CVE-2012-0587: Sergey Glazunov
CVE-2012-0588: Google Chrome 팀의 Jochen Eisinger
CVE-2012-0589: polyvore.com의 Alan Austin
-
WebKit
대상: iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3rd generation) 이후 제품, iPad, iPad 2
영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: WebKit에서 여러 가지 메모리 손상 문제가 발생합니다.
CVE-ID
CVE-2011-2825: TippingPoint ZDI(Zero Day Initiative) team509의 wushi
CVE-2011-2833: Apple
CVE-2011-2846: Arthur Gerkis, miaubiz
CVE-2011-2847: miaubiz, AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2011-2854: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2011-2855: Arthur Gerkis, iDefense VCP team509의 wushi
CVE-2011-2857: miaubiz
CVE-2011-2860: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2011-2867: Dirk Schulze
CVE-2011-2868: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2011-2869: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Cris Neckar
CVE-2011-2870: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2011-2871: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2011-2872: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya(Inferno) 및 Cris Neckar
CVE-2011-2873: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2011-2877: miaubiz
CVE-2011-3885: miaubiz
CVE-2011-3888: miaubiz
CVE-2011-3897: TippingPoint ZDI(Zero Day Initiative)의 pa_kt
CVE-2011-3908: OUSPG의 Aki Helin
CVE-2011-3909: Google Chrome 보안 팀(scarybeasts) 및 Chu
CVE-2011-3928: TippingPoint ZDI(Zero Day Initiative) team509의 wushi
CVE-2012-0591: miaubiz, Martin Barbella
CVE-2012-0592: TippingPoint ZDI(Zero Day Initiative)의 Alexander Gavrun
CVE-2012-0593: Chromium 개발 커뮤니티의 Lei Zhang
CVE-2012-0594: Chromium 개발 커뮤니티의 Adam Klein
CVE-2012-0595: Apple
CVE-2012-0596: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2012-0597: miaubiz
CVE-2012-0598: Sergey Glazunov
CVE-2012-0599: SaveSources.com의 Dmytro Gorbunov
CVE-2012-0600: Marshall Greenblatt, Google Chrome의 Dharani Govindan, miaubiz, OUSPG의 Aki Helin, Apple
CVE-2012-0601: Apple
CVE-2012-0602: Apple
CVE-2012-0603: Apple
CVE-2012-0604: Apple
CVE-2012-0605: Apple
CVE-2012-0606: Apple
CVE-2012-0607: Apple
CVE-2012-0608: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2012-0609: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2012-0610: miaubiz, AddressSanitizer를 사용하는 Martin Barbella
CVE-2012-0611: AddressSanitizer를 사용하는 Martin Barbella
CVE-2012-0612: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2012-0613: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2012-0614: miaubiz, AddressSanitizer를 사용하는 Martin Barbella
CVE-2012-0615: AddressSanitizer를 사용하는 Martin Barbella
CVE-2012-0616: miaubiz
CVE-2012-0617: AddressSanitizer를 사용하는 Martin Barbella
CVE-2012-0618: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2012-0619: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2012-0620: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2012-0621: AddressSanitizer를 사용하는 Martin Barbella
CVE-2012-0622: Google Chrome 보안 팀의 Dave Levin 및 Abhishek Arya
CVE-2012-0623: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2012-0624: AddressSanitizer를 사용하는 Martin Barbella
CVE-2012-0625: Martin Barbella
CVE-2012-0626: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2012-0627: Apple
CVE-2012-0628: Slawomir Blazek, miaubiz, AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2012-0629: Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2012-0630: Igalia의 Sergio Villar Senin
CVE-2012-0631: Google Chrome 보안 팀의 Abhishek Arya(Inferno)
CVE-2012-0632: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Cris Neckar
CVE-2012-0633: Apple
CVE-2012-0635: Chromium 개발 커뮤니티의 Julien Chaffraix, AddressSanitizer를 사용하는 Martin Barbella