Safari 6의 보안 콘텐츠에 관하여

이 문서에서는 Safari 6의 보안 콘텐츠에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용을 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 참조할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.

Safari 6.0

  • Safari

    대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 크로스 사이트 스크립팅 공격이 발생할 수 있음

    설명: feed:// URL을 처리할 때 교차 사이트 스크립팅 문제가 발생합니다. 이 업데이트를 설치하면 feed:// URL 처리가 제거됩니다.

    CVE-ID

    CVE-2012-0678: Masato Kinugawa

  • Safari

    대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    영향: 악의적으로 제작된 웹 사이트를 방문하면 사용자 시스템의 파일이 원격 서버로 전송될 수 있음

    설명: feed:// URL을 처리할 때 접근 제어 문제가 발생합니다. 이 업데이트를 설치하면 feed:// URL 처리가 제거됩니다.

    CVE-ID

    CVE-2012-0679: vtty.com의 Aaron Sigel

  • Safari

    대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    영향: 사이트에서 자동 완성을 비활성화로 지정한 경우에도 암호가 자동 완성될 수 있음

    설명: 자동 완성 속성이 '끔'으로 설정되어 있는 암호 입력 요소가 자동으로 완성됩니다. 이 업데이트에서는 자동 완성 속성 처리가 개선되어 문제가 해결되었습니다.

    CVE-ID

    CVE-2012-0680: Moodle의 Dan Poltawski

  • Safari 다운로드

    대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    영향: 특정 웹 사이트에서 악의적으로 제작된 파일을 열면 교차 사이트 스크립팅 공격이 발생할 수 있음

    설명: HTTP Content-Disposition 헤더의 'attachment' 값에 대한 Safari 지원에 문제가 있습니다. 많은 웹 사이트는 웹 기반 이메일 응용 프로그램의 첨부 파일과 같이 타사가 자사 사이트에 업로드한 파일을 제공하기 위해 이 헤더를 사용합니다. 이 헤더 값으로 제공되는 파일의 모든 스크립트는 원천 서버의 다른 리소스를 전부 사용하여 파일이 인라인으로 제공된 것처럼 실행됩니다. 이 헤더에 적용되는 리소스를 인라인으로 표시하지 않고 다운로드하면 이 문제가 해결됩니다.

    CVE-ID

    CVE-2011-3426: laplinker.com의 Mickey Shkatov, Microsoft 및 MSVR(Microsoft Vulnerability Research)의 Kyle Osborn, Hidetake Jo

  • WebKit

    대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 여러 가지 메모리 손상 문제가 발생합니다. 이러한 문제는 향상된 메모리 처리를 통해 해결됩니다.

    CVE-ID

    CVE-2011-3016: miaubiz

    CVE-2011-3021: Arthur Gerkis

    CVE-2011-3027: miaubiz

    CVE-2011-3032: Arthur Gerkis

    CVE-2011-3034: Arthur Gerkis

    CVE-2011-3035: iDefense VCP team509의 wushi, Arthur Gerkis

    CVE-2011-3036: miaubiz

    CVE-2011-3037: miaubiz

    CVE-2011-3038: miaubiz

    CVE-2011-3039: miaubiz

    CVE-2011-3040: miaubiz

    CVE-2011-3041: miaubiz

    CVE-2011-3042: miaubiz

    CVE-2011-3043: miaubiz

    CVE-2011-3044: Arthur Gerkis

    CVE-2011-3050: miaubiz

    CVE-2011-3053: miaubiz

    CVE-2011-3059: Arthur Gerkis

    CVE-2011-3060: miaubiz

    CVE-2011-3064: OUSPG의 Atte Kettunen

    CVE-2011-3068: miaubiz

    CVE-2011-3069: miaubiz

    CVE-2011-3071: HP Zero Day Initiative의 pa_kt

    CVE-2011-3073: Arthur Gerkis

    CVE-2011-3074: Slawomir Blazek

    CVE-2011-3075: miaubiz

    CVE-2011-3076: miaubiz

    CVE-2011-3078: Google Chrome 보안 팀의 Martin Barbella

    CVE-2011-3081: miaubiz

    CVE-2011-3086: Arthur Gerkis

    CVE-2011-3089: Google Chrome 보안 팀의 Skylined, miaubiz

    CVE-2011-3090: Arthur Gerkis

    CVE-2011-3913: Arthur Gerkis

    CVE-2011-3924: Arthur Gerkis

    CVE-2011-3926: Arthur Gerkis

    CVE-2011-3958: miaubiz

    CVE-2011-3966: OUSPG의 Aki Helin

    CVE-2011-3968: Arthur Gerkis

    CVE-2011-3969: Arthur Gerkis

    CVE-2011-3971: Arthur Gerkis

    CVE-2012-0682: Apple 제품 보안

    CVE-2012-0683: Mozilla의 Dave Mandelin

    CVE-2012-1520: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella, iDefense VCP spa-s3c.blogspot.com의 Jose A. Vazquez

    CVE-2012-1521: Google Chrome 보안 팀의 Skylined, iDefense VCP spa-s3c.blogspot.com의 Jose A. Vazquez

    CVE-2012-3589: Mozilla의 Dave Mandelin

    CVE-2012-3590: Apple 제품 보안

    CVE-2012-3591: Apple 제품 보안

    CVE-2012-3592: Apple 제품 보안

    CVE-2012-3593: Apple 제품 보안

    CVE-2012-3594: miaubiz

    CVE-2012-3595: Google Chrome 보안 팀의 Martin Barbella

    CVE-2012-3596: Google Chrome 보안 팀의 Skylined

    CVE-2012-3597: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya

    CVE-2012-3599: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya

    CVE-2012-3600: Chromium 개발 커뮤니티의 David Levin

    CVE-2012-3603: Apple 제품 보안

    CVE-2012-3604: Google Chrome 보안 팀의 Skylined

    CVE-2012-3605: Google Chrome 보안 팀의 Cris Neckar

    CVE-2012-3608: Google Chrome 보안 팀의 Skylined

    CVE-2012-3609: Google Chrome 보안 팀의 Skylined

    CVE-2012-3610: Google Chrome 보안 팀의 Skylined

    CVE-2012-3611: Apple 제품 보안

    CVE-2012-3615: Chromium 개발 커뮤니티의 Stephen Chenney

    CVE-2012-3618: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya

    CVE-2012-3620: Google Chrome 보안 팀의 Abhishek Arya

    CVE-2012-3625: Google Chrome 보안 팀의 Skylined

    CVE-2012-3626: Apple 제품 보안

    CVE-2012-3627: Google Chrome 보안 팀의 Skylined 및 Abhishek Arya

    CVE-2012-3628: Apple 제품 보안

    CVE-2012-3629: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya

    CVE-2012-3630: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya

    CVE-2012-3631: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya

    CVE-2012-3633: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

    CVE-2012-3634: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

    CVE-2012-3635: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

    CVE-2012-3636: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

    CVE-2012-3637: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

    CVE-2012-3638: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

    CVE-2012-3639: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

    CVE-2012-3640: miaubiz

    CVE-2012-3641: Slawomir Blazek

    CVE-2012-3642: miaubiz

    CVE-2012-3644: miaubiz

    CVE-2012-3645: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

    CVE-2012-3646: Chromium 개발 커뮤니티의 Julien Chaffraix, AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

    CVE-2012-3653: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

    CVE-2012-3655: Google Chrome 보안 팀의 Skylined

    CVE-2012-3656: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya

    CVE-2012-3661: Apple 제품 보안

    CVE-2012-3663: Google Chrome 보안 팀의 SkyLined

    CVE-2012-3664: Chromium 개발 커뮤니티의 Thomas Sepez

    CVE-2012-3665: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

    CVE-2012-3666: Apple

    CVE-2012-3667: propaneapp.com의 Trevor Squires

    CVE-2012-3668: Apple 제품 보안

    CVE-2012-3669: Apple 제품 보안

    CVE-2012-3670: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya, Arthur Gerkis

    CVE-2012-3674: Google Chrome 보안 팀의 SkyLined

    CVE-2012-3678: Apple 제품 보안

    CVE-2012-3679: Mozilla의 Chris Leary

    CVE-2012-3680: Google Chrome 보안 팀의 Skylined

    CVE-2012-3681: Apple

    CVE-2012-3682: Google Chrome 보안 팀의 Adam Barth

    CVE-2012-3683: iDefense VCP team509의 wushi

    CVE-2012-3686: Torch Mobile(베이징)의 Robin Cao

  • WebKit

    대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    영향: 웹 페이지에서 특정 텍스트를 드래그 앤 드롭하면 교차 사이트 정보가 공개될 수 있음

    설명: 드래그 앤 드롭 이벤트를 처리할 때 출처 간 문제가 발생합니다. 이 문제는 향상된 출처 추적 기능을 통해 해결됩니다.

    CVE-ID

    CVE-2012-3689: Cue의 David Bloom

  • WebKit

    대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    영향: 웹 페이지에서 특정 텍스트를 드래그 앤 드롭하면 사용자 시스템의 파일이 원격 서버로 전송될 수 있음

    설명: 드래그 앤 드롭 이벤트를 처리할 때 접근 제어 문제가 발생합니다. 이 문제는 향상된 출처 추적 기능을 통해 해결됩니다.

    CVE-ID

    CVE-2012-3690: Cue의 David Bloom

  • WebKit

    대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 교차 사이트 정보 공개가 발생할 수 있음

    설명: CSS 속성 값을 처리할 때 출처 간 문제가 발생합니다. 이 문제는 향상된 출처 추적 기능을 통해 해결됩니다.

    CVE-ID

    CVE-2012-3691: Apple

  • WebKit

    대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    영향: 악의적인 웹 사이트에서 다른 사이트의 iframe 콘텐츠를 대체할 수 있음

    설명: 팝업 윈도우에서 iframe을 처리할 때 출처 간 문제가 발생합니다. 이 문제는 향상된 출처 추적 기능을 통해 해결됩니다.

    CVE-ID

    CVE-2011-3067: Sergey Glazunov

  • WebKit

    대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 교차 사이트 정보 공개가 발생할 수 있음

    설명: iframe 및 단편 식별자를 처리할 때 출처 간 문제가 발생합니다. 이 문제는 향상된 출처 추적 기능을 통해 해결됩니다.

    CVE-ID

    CVE-2012-2815: Stanford University Security Laboratory의 Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt, Dan Boneh

  • WebKit

    대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    영향: URL에서 매우 유사한 문자가 사용되어 웹 사이트를 가장할 수 있음

    설명: IDN(International Domain Name) 지원과 Safari에 내장된 유니코드 서체가 매우 유사한 문자가 포함된 URL을 만드는 데 사용되었을 수도 있습니다. 악의적인 웹 사이트에서 이 방법을 사용하여 적법한 도메인처럼 보이는 변조된 사이트로 사용자를 연결할 수 있습니다. 이 문제는 WebKit의 알려진 매우 유사한 문자 목록을 구현하여 해결됩니다. 매우 유사한 문자는 주소 표시줄에서 퓨니코드로 렌더링됩니다.

    CVE-ID

    CVE-2012-3693: Symantec의 Matt Cooley

  • WebKit

    대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    영향: 파일을 Safari로 드래그 앤 드롭하면 파일의 파일 시스템 경로가 웹 사이트에 공개될 수 있음

    설명: 드래그한 파일을 처리할 때 정보 공개 문제가 발생합니다. 이 문제는 드래그한 파일 처리를 개선하여 해결됩니다.

    CVE-ID

    CVE-2012-3694: Google의 Daniel Cheng, vtty.com의 Aaron Sigel

  • WebKit

    대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 크로스 사이트 스크립팅 공격이 발생할 수 있음

    설명: URL을 처리할 때 정규화 문제가 발생합니다. 이 경우 location.href 속성을 사용하는 사이트에서 교차 사이트 스크립팅이 발생할 수 있습니다. 이 문제는 URL의 정규화를 개선하면 해결됩니다.

    CVE-ID

    CVE-2012-3695: Masato Kinugawa

  • WebKit

    대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    영향: 악의적으로 제작된 웹 사이트를 방문하면 HTTP 요청 스플리팅이 발생할 수 있음

    설명: WebSockets 처리 시 HTTP 헤더 인젝션 문제가 발생합니다. 이 문제는 WebSockets URI 삭제를 개선하여 해결됩니다.

    CVE-ID

    CVE-2012-3696: BlackBerry Security Incident Response 팀의 David Belcher

  • WebKit

    대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    영향: 악의적으로 제작된 웹 사이트에서 URL 막대의 값을 변조할 수 있음

    설명: 세션 내역을 처리하는 중에 상태 관리 문제가 발생합니다. 현재 페이지의 단편으로 이동할 경우 Safari가 URL 막대에 잘못된 정보를 표시할 수 있습니다. 이 문제는 세션 상태 추적을 개선하여 해결됩니다.

    CVE-ID

    CVE-2011-2845: Jordi Chancel

  • WebKit

    대상: Lion v10.7.4, OS X Lion Server v10.7.4

    영향: 공격자가 샌드 박스를 탈출하여 현재 사용자가 접근 권한을 갖고 있는 파일에 접근할 수 있음

    설명: 파일 URL을 처리할 때 접근 제어 문제가 발생합니다. Safari WebProcess에서 임의 코드를 얻는 공격자가 샌드 박스를 무시하고 Safari를 실행하는 사용자가 접근 권한을 갖고 있는 파일에 접근할 수 있습니다. 이 문제는 향상된 파일 URL 처리를 통해 해결됩니다.

    CVE-ID

    CVE-2012-3697: vtty.com의 Aaron Sigel

  • WebKit

    대상: Lion v10.7.4, OS X Lion Server v10.7.4

    영향: 악의적으로 제작된 웹 사이트를 방문하면 메모리 내용이 공개될 수 있음

    설명: SVG 이미지를 처리할 때 메모리 접근이 초기화되지 않는 문제가 발생합니다. 이 문제는 향상된 메모리 초기화를 통해 해결됩니다.

    CVE-ID

    CVE-2012-3650: Apple

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능 및 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 자세한 내용은 해당 업체에 문의하시기 바랍니다.

게시일: