Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용을 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.
Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.
가능한 경우 CVE ID로 취약성에 대한 추가 정보를 참조할 수 있습니다.
다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.
Xcode 4.4
-
neon
대상: OS X Lion v10.7.4 이후
영향: 공격자가 SSL로 보호되는 데이터의 암호를 해제할 수 있음
설명: 일련의 암호가 CBC 모드에서 블록 암호를 사용할 때 SSL 3.0 및 TLS 1.0 버전의 기밀성을 침해하는 공격이 몇 가지 있습니다. Subversion에 사용되는 네온 라이브러리에서는 이러한 공격을 차단했던 '빈 프래그먼트' 보호 조치를 비활성화했습니다. 이 문제는 보호 조치를 활성화하면 해결됩니다.
CVE-ID
CVE-2011-3389
-
Xcode
대상: OS X Lion v10.7.4 이후
영향: Xcode로 개발된 보조 응용 프로그램 도구에서 임의의 App Store 응용 프로그램이 키체인 항목을 읽도록 허용할 수 있음
설명: 서명되는 모든 프로그램에는 이 프로그램의 인스턴스로 간주되기 위해 프로그램이 충족해야 하는 제한 사항을 프로그램 개발자의 관점에서 설명하는 DR(Designated Requirement)이 포함됩니다. 번들 ID가 없는 제품(예: 명령행 도구 또는 내장된 보조 응용 프로그램)에 개발자 ID와 Xcode를 사용하여 서명한 경우 생성된 제품 DR 중 App Store에서 서명되는 App에 적용되는 DR 부분에 해당 개발자 ID가 포함되지 않았습니다. 따라서 임의의 App Store App이 이 제품에서 생성된 키체인 항목에 접근했을 수 있습니다. 이 문제는 향상된 검사를 통해 DR을 생성하면 해결됩니다. 영향을 받는 제품을 이 Xcode 버전으로 재서명하여 향상된 DR을 포함시켜야 합니다.
CVE-ID
CVE-2012-3698