Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용을 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.
Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.
가능한 경우 CVE ID로 취약성에 대한 추가 정보를 참조할 수 있습니다.
다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.
Safari 6.0
- 

- 

Safari

대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 크로스 사이트 스크립팅 공격이 발생할 수 있음

설명: feed:// URL을 처리할 때 교차 사이트 스크립팅 문제가 발생합니다. 이 업데이트를 설치하면 feed:// URL 처리가 제거됩니다.

CVE-ID

CVE-2012-0678: Masato Kinugawa

 

- 

- 

Safari

대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

영향: 악의적으로 제작된 웹 사이트를 방문하면 사용자 시스템의 파일이 원격 서버로 전송될 수 있음

설명: feed:// URL을 처리할 때 접근 제어 문제가 발생합니다. 이 업데이트를 설치하면 feed:// URL 처리가 제거됩니다.

CVE-ID

CVE-2012-0679: vtty.com의 Aaron Sigel

 

- 

- 

Safari

대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

영향: 사이트에서 자동 완성을 비활성화로 지정한 경우에도 암호가 자동 완성될 수 있음

설명: 자동 완성 속성이 '끔'으로 설정되어 있는 암호 입력 요소가 자동으로 완성됩니다. 이 업데이트에서는 자동 완성 속성 처리가 개선되어 문제가 해결되었습니다.

CVE-ID

CVE-2012-0680: Moodle의 Dan Poltawski

 

- 

- 

Safari 다운로드

대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

영향: 특정 웹 사이트에서 악의적으로 제작된 파일을 열면 교차 사이트 스크립팅 공격이 발생할 수 있음

설명: HTTP Content-Disposition 헤더의 'attachment' 값에 대한 Safari 지원에 문제가 있습니다. 많은 웹 사이트는 웹 기반 이메일 응용 프로그램의 첨부 파일과 같이 타사가 자사 사이트에 업로드한 파일을 제공하기 위해 이 헤더를 사용합니다. 이 헤더 값으로 제공되는 파일의 모든 스크립트는 원천 서버의 다른 리소스를 전부 사용하여 파일이 인라인으로 제공된 것처럼 실행됩니다. 이 헤더에 적용되는 리소스를 인라인으로 표시하지 않고 다운로드하면 이 문제가 해결됩니다.

CVE-ID

CVE-2011-3426: laplinker.com의 Mickey Shkatov, Microsoft 및 MSVR(Microsoft Vulnerability Research)의 Kyle Osborn, Hidetake Jo

 

- 

- 

WebKit

대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

설명: WebKit에서 여러 가지 메모리 손상 문제가 발생합니다. 이러한 문제는 향상된 메모리 처리를 통해 해결됩니다.

CVE-ID

CVE-2011-3016: miaubiz

CVE-2011-3021: Arthur Gerkis

CVE-2011-3027: miaubiz

CVE-2011-3032: Arthur Gerkis

CVE-2011-3034: Arthur Gerkis

CVE-2011-3035: iDefense VCP team509의 wushi, Arthur Gerkis

CVE-2011-3036: miaubiz

CVE-2011-3037: miaubiz

CVE-2011-3038: miaubiz

CVE-2011-3039: miaubiz

CVE-2011-3040: miaubiz

CVE-2011-3041: miaubiz

CVE-2011-3042: miaubiz

CVE-2011-3043: miaubiz

CVE-2011-3044: Arthur Gerkis

CVE-2011-3050: miaubiz

CVE-2011-3053: miaubiz

CVE-2011-3059: Arthur Gerkis

CVE-2011-3060: miaubiz

CVE-2011-3064: OUSPG의 Atte Kettunen

CVE-2011-3068: miaubiz

CVE-2011-3069: miaubiz

CVE-2011-3071: HP Zero Day Initiative의 pa_kt

CVE-2011-3073: Arthur Gerkis

CVE-2011-3074: Slawomir Blazek

CVE-2011-3075: miaubiz

CVE-2011-3076: miaubiz

CVE-2011-3078: Google Chrome 보안 팀의 Martin Barbella

CVE-2011-3081: miaubiz

CVE-2011-3086: Arthur Gerkis

CVE-2011-3089: Google Chrome 보안 팀의 Skylined, miaubiz

CVE-2011-3090: Arthur Gerkis

CVE-2011-3913: Arthur Gerkis

CVE-2011-3924: Arthur Gerkis

CVE-2011-3926: Arthur Gerkis

CVE-2011-3958: miaubiz

CVE-2011-3966: OUSPG의 Aki Helin

CVE-2011-3968: Arthur Gerkis

CVE-2011-3969: Arthur Gerkis

CVE-2011-3971: Arthur Gerkis

CVE-2012-0682: Apple 제품 보안

CVE-2012-0683: Mozilla의 Dave Mandelin

CVE-2012-1520: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella, iDefense VCP spa-s3c.blogspot.com의 Jose A. Vazquez

CVE-2012-1521: Google Chrome 보안 팀의 Skylined, iDefense VCP spa-s3c.blogspot.com의 Jose A. Vazquez

CVE-2012-3589: Mozilla의 Dave Mandelin

CVE-2012-3590: Apple 제품 보안

CVE-2012-3591: Apple 제품 보안

CVE-2012-3592: Apple 제품 보안

CVE-2012-3593: Apple 제품 보안

CVE-2012-3594: miaubiz

CVE-2012-3595: Google Chrome 보안 팀의 Martin Barbella

CVE-2012-3596: Google Chrome 보안 팀의 Skylined

CVE-2012-3597: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya

CVE-2012-3599: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya

CVE-2012-3600: Chromium 개발 커뮤니티의 David Levin

CVE-2012-3603: Apple 제품 보안

CVE-2012-3604: Google Chrome 보안 팀의 Skylined

CVE-2012-3605: Google Chrome 보안 팀의 Cris Neckar

CVE-2012-3608: Google Chrome 보안 팀의 Skylined

CVE-2012-3609: Google Chrome 보안 팀의 Skylined

CVE-2012-3610: Google Chrome 보안 팀의 Skylined

CVE-2012-3611: Apple 제품 보안

CVE-2012-3615: Chromium 개발 커뮤니티의 Stephen Chenney

CVE-2012-3618: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya

CVE-2012-3620: Google Chrome 보안 팀의 Abhishek Arya

CVE-2012-3625: Google Chrome 보안 팀의 Skylined

CVE-2012-3626: Apple 제품 보안

CVE-2012-3627: Google Chrome 보안 팀의 Skylined 및 Abhishek Arya

CVE-2012-3628: Apple 제품 보안

CVE-2012-3629: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya

CVE-2012-3630: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya

CVE-2012-3631: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya

CVE-2012-3633: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

CVE-2012-3634: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

CVE-2012-3635: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

CVE-2012-3636: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

CVE-2012-3637: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

CVE-2012-3638: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

CVE-2012-3639: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

CVE-2012-3640: miaubiz

CVE-2012-3641: Slawomir Blazek

CVE-2012-3642: miaubiz

CVE-2012-3644: miaubiz

CVE-2012-3645: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

CVE-2012-3646: Chromium 개발 커뮤니티의 Julien Chaffraix, AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

CVE-2012-3653: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

CVE-2012-3655: Google Chrome 보안 팀의 Skylined

CVE-2012-3656: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya

CVE-2012-3661: Apple 제품 보안

CVE-2012-3663: Google Chrome 보안 팀의 SkyLined

CVE-2012-3664: Chromium 개발 커뮤니티의 Thomas Sepez

CVE-2012-3665: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Martin Barbella

CVE-2012-3666: Apple

CVE-2012-3667: propaneapp.com의 Trevor Squires

CVE-2012-3668: Apple 제품 보안

CVE-2012-3669: Apple 제품 보안

CVE-2012-3670: AddressSanitizer를 사용하는 Google Chrome 보안 팀의 Abhishek Arya, Arthur Gerkis

CVE-2012-3674: Google Chrome 보안 팀의 SkyLined

CVE-2012-3678: Apple 제품 보안

CVE-2012-3679: Mozilla의 Chris Leary

CVE-2012-3680: Google Chrome 보안 팀의 Skylined

CVE-2012-3681: Apple

CVE-2012-3682: Google Chrome 보안 팀의 Adam Barth

CVE-2012-3683: iDefense VCP team509의 wushi

CVE-2012-3686: Torch Mobile(베이징)의 Robin Cao

 

- 

- 

WebKit

대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

영향: 웹 페이지에서 특정 텍스트를 드래그 앤 드롭하면 교차 사이트 정보가 공개될 수 있음

설명: 드래그 앤 드롭 이벤트를 처리할 때 출처 간 문제가 발생합니다. 이 문제는 향상된 출처 추적 기능을 통해 해결됩니다.

CVE-ID

CVE-2012-3689: Cue의 David Bloom

 

- 

- 

WebKit

대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

영향: 웹 페이지에서 특정 텍스트를 드래그 앤 드롭하면 사용자 시스템의 파일이 원격 서버로 전송될 수 있음

설명: 드래그 앤 드롭 이벤트를 처리할 때 접근 제어 문제가 발생합니다. 이 문제는 향상된 출처 추적 기능을 통해 해결됩니다.

CVE-ID

CVE-2012-3690: Cue의 David Bloom

 

- 

- 

WebKit

대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 교차 사이트 정보 공개가 발생할 수 있음

설명: CSS 속성 값을 처리할 때 출처 간 문제가 발생합니다. 이 문제는 향상된 출처 추적 기능을 통해 해결됩니다.

CVE-ID

CVE-2012-3691: Apple

 

- 

- 

WebKit

대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

영향: 악의적인 웹 사이트에서 다른 사이트의 iframe 콘텐츠를 대체할 수 있음

설명: 팝업 윈도우에서 iframe을 처리할 때 출처 간 문제가 발생합니다. 이 문제는 향상된 출처 추적 기능을 통해 해결됩니다.

CVE-ID

CVE-2011-3067: Sergey Glazunov

 

- 

- 

WebKit

대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 교차 사이트 정보 공개가 발생할 수 있음

설명: iframe 및 단편 식별자를 처리할 때 출처 간 문제가 발생합니다. 이 문제는 향상된 출처 추적 기능을 통해 해결됩니다.

CVE-ID

CVE-2012-2815: Stanford University Security Laboratory의 Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt, Dan Boneh

 

- 

- 

WebKit

대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

영향: URL에서 매우 유사한 문자가 사용되어 웹 사이트를 가장할 수 있음

설명: IDN(International Domain Name) 지원과 Safari에 내장된 유니코드 서체가 매우 유사한 문자가 포함된 URL을 만드는 데 사용되었을 수도 있습니다. 악의적인 웹 사이트에서 이 방법을 사용하여 적법한 도메인처럼 보이는 변조된 사이트로 사용자를 연결할 수 있습니다. 이 문제는 WebKit의 알려진 매우 유사한 문자 목록을 구현하여 해결됩니다. 매우 유사한 문자는 주소 표시줄에서 퓨니코드로 렌더링됩니다.

CVE-ID

CVE-2012-3693: Symantec의 Matt Cooley

 

- 

- 

WebKit

대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

영향: 파일을 Safari로 드래그 앤 드롭하면 파일의 파일 시스템 경로가 웹 사이트에 공개될 수 있음

설명: 드래그한 파일을 처리할 때 정보 공개 문제가 발생합니다. 이 문제는 드래그한 파일 처리를 개선하여 해결됩니다.

CVE-ID

CVE-2012-3694: Google의 Daniel Cheng, vtty.com의 Aaron Sigel

 

- 

- 

WebKit

대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 크로스 사이트 스크립팅 공격이 발생할 수 있음

설명: URL을 처리할 때 정규화 문제가 발생합니다. 이 경우 location.href 속성을 사용하는 사이트에서 교차 사이트 스크립팅이 발생할 수 있습니다. 이 문제는 URL의 정규화를 개선하면 해결됩니다.

CVE-ID

CVE-2012-3695: Masato Kinugawa

 

- 

- 

WebKit

대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

영향: 악의적으로 제작된 웹 사이트를 방문하면 HTTP 요청 스플리팅이 발생할 수 있음

설명: WebSockets 처리 시 HTTP 헤더 인젝션 문제가 발생합니다. 이 문제는 WebSockets URI 삭제를 개선하여 해결됩니다.

CVE-ID

CVE-2012-3696: BlackBerry Security Incident Response 팀의 David Belcher

 

- 

- 

WebKit

대상: OS X Lion v10.7.4, OS X Lion Server v10.7.4

영향: 악의적으로 제작된 웹 사이트에서 URL 막대의 값을 변조할 수 있음

설명: 세션 내역을 처리하는 중에 상태 관리 문제가 발생합니다. 현재 페이지의 단편으로 이동할 경우 Safari가 URL 막대에 잘못된 정보를 표시할 수 있습니다. 이 문제는 세션 상태 추적을 개선하여 해결됩니다.

CVE-ID

CVE-2011-2845: Jordi Chancel

 

- 

- 

WebKit

대상: Lion v10.7.4, OS X Lion Server v10.7.4

영향: 공격자가 샌드 박스를 탈출하여 현재 사용자가 접근 권한을 갖고 있는 파일에 접근할 수 있음

설명: 파일 URL을 처리할 때 접근 제어 문제가 발생합니다. Safari WebProcess에서 임의 코드를 얻는 공격자가 샌드 박스를 무시하고 Safari를 실행하는 사용자가 접근 권한을 갖고 있는 파일에 접근할 수 있습니다. 이 문제는 향상된 파일 URL 처리를 통해 해결됩니다.

CVE-ID

CVE-2012-3697: vtty.com의 Aaron Sigel

 

- 

- 

WebKit

대상: Lion v10.7.4, OS X Lion Server v10.7.4

영향: 악의적으로 제작된 웹 사이트를 방문하면 메모리 내용이 공개될 수 있음

설명: SVG 이미지를 처리할 때 메모리 접근이 초기화되지 않는 문제가 발생합니다. 이 문제는 향상된 메모리 초기화를 통해 해결됩니다.

CVE-ID

CVE-2012-3650: Apple