OS X Mountain Lion v10.8.4 및 보안 업데이트 2013-002의 보안 콘텐츠에 관하여

이 문서에서는 OS X Mountain Lion v10.8.4 및 보안 업데이트 2013-002의 보안 콘텐츠에 대해 설명합니다. 보안 업데이트는 소프트웨어 업데이트 환경설정 또는 Apple 다운로드를 통해 다운로드하여 설치할 수 있습니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시가 이루어질 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용을 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.
 

OS X Mountain Lion v10.8.4 및 보안 업데이트 2013-002

참고: OS X Mountain Lion v10.8.4에는 Safari 6.0.5 콘텐츠가 있습니다. 자세한 내용은 Safari 6.0.5의 보안 콘텐츠 정보를 참조하십시오.

  • CFNetwork

    대상: OS X Mountain Lion v10.8~v10.8.3

    영향: 개인정보 보호 브라우징을 사용해도 사용자 세션에 접근할 수 있는 공격자가 이전에 접근한 사이트에 로그인할 수 있음

    설명: 개인정보 보호 브라우징이 활성화되어 있는 경우에도 Safari를 종료하면 쿠키가 영구적으로 저장됩니다. 이 문제는 향상된 쿠키 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-0982: www.traud.de의 Alexander Traud

  • CoreAnimation

    대상: OS X Mountain Lion v10.8~v10.8.3

    영향: 악의적으로 제작된 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 텍스트 글리프를 처리할 때 바운드되지 않은 스택 할당 문제가 발생합니다. 이 문제는 Safari에서 악의적으로 제작된 URL에 의해 발생할 수 있습니다. 이 문제는 향상된 경계 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2013-0983: Stanford University의 David Fifield, Ben Syverson

  • CoreMedia 재생

    대상: OS X Lion v10.7~v10.7.5, OS X Lion Server v10.7~v10.7.5, OS X Mountain Lion v10.8~v10.8.3

    영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 텍스트 트랙을 처리할 때 메모리 접근이 초기화되지 않는 문제가 발생합니다. 이 문제는 텍스트 트랙의 추가 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-1024: Triemt Corporation의 Richard Kuo 및 Billy Suguitan

  • CUPS

    대상: OS X Mountain Lion v10.8~v10.8.3

    영향: lpadmin 그룹의 로컬 사용자가 시스템 권한을 사용하여 임의 파일을 읽거나 쓸 수 있음

    설명: CUPS 웹 인터페이스를 통해 CUPS 구성을 처리할 때 권한 에스컬레이션 문제가 발생합니다. lpadmin 그룹의 로컬 사용자가 시스템 권한을 사용하여 임의 파일을 읽거나 쓸 수 있습니다. 이 문제는 CUPS 웹 인터페이스에서 수정할 수 없는 특정 구성 지시문을 cups-files.conf로 옮겨 해결되었습니다.

    CVE-ID

    CVE-2012-5519

  • 디렉토리 서비스

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    영향: 원격 공격자가 디렉토리 서비스가 활성화된 시스템에서 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 디렉토리 서버가 네트워크 메시지를 처리할 때 문제가 발생합니다. 원격 공격자가 악의적으로 제작된 메시지를 보내어 디렉토리 서버에서 시스템 권한을 사용하여 임의 코드를 종료하거나 실행할 수 있습니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다. 이 문제는 OS X Lion 또는 OS X Mountain Lion 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2013-0984: Core Security의 Nicolas Economou

  • 디스크 관리

    대상: OS X Mountain Lion v10.8~v10.8.3

    영향: 로컬 사용자가 FileVault를 비활성화할 수 있음

    설명: 관리자가 아닌 로컬 사용자가 명령어 라인을 사용하여 FileVault를 비활성화할 수 있습니다. 이 문제는 인증을 추가하여 해결되었습니다.

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7~v10.7.5, OS X Lion Server v10.7~v10.7.5, OS X Mountain Lion v10.8~v10.8.3

    영향: 공격자가 SSL로 보호되는 데이터의 암호를 해제할 수 있음

    설명: 압축이 활성화되어 있을 때 TLS 1.0의 기밀성을 침해하는 알려진 공격이 몇 가지 있습니다. 이 문제는 OpenSSL에서 압축을 비활성화하여 해결되었습니다.

    CVE-ID

    CVE-2012-4929: Juliano Rizzo 및 Thai Duong

  • OpenSSL

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7~v10.7.5, OS X Lion Server v10.7~v10.7.5, OS X Mountain Lion v10.8~v10.8.3

    영향: OpenSSL에서 여러 가지 취약성이 발생함

    설명: 서비스를 거부하거나 개인 키가 공개될 수 있는 여러 가지 취약점을 해결하기 위해 OpenSSL이 0.9.8x 버전으로 업데이트되었습니다. 자세한 내용은 OpenSSL 웹 사이트(http://www.openssl.org/news/)를 참조하십시오.

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    대상: OS X Lion v10.7~v10.7.5, OS X Lion Server v10.7~v10.7.5, OS X Mountain Lion v10.8~v10.8.2

    영향: 악의적으로 제작된 PICT 이미지를 열 때 응용 프로그램이 예상치 않게 종료되거나 임의의 코드가 실행될 수 있음

    설명: PICT 이미지를 처리할 때 버퍼 오버플로우 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-0975: HP Zero Day Initiative의 Tobias Klein

  • QuickTime

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7~v10.7.5, OS X Lion Server v10.7~v10.7.5, OS X Mountain Lion v10.8~v10.8.3

    영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 'enof' atom을 처리할 때 버퍼 오버플로우가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-0986: HP Zero Day Initiative를 통해 보고한 Tom Gallagher(Microsoft) 및 Paul Bates(Microsoft)

  • QuickTime

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7~v10.7.5, OS X Lion Server v10.7~v10.7.5, OS X Mountain Lion v10.8~v10.8.3

    영향: 악의적으로 제작된 QTIF 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QTIF 파일을 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-0987: iDefense VCP의 roob

  • QuickTime

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7~v10.7.5, OS X Lion Server v10.7~v10.7.5, OS X Mountain Lion v10.8~v10.8.3

    영향: 악의적으로 제작된 FPX 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: FPX 파일을 처리할 때 버퍼 오버플로우가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-0988: HP Zero Day Initiative의 G. Geshev

  • QuickTime

    대상: OS X Mountain Lion v10.8~v10.8.3

    영향: 악의적으로 제작된 MP3 파일을 재생하면 응용 프로그램이 예상치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: MP3 파일을 처리할 때 버퍼 오버플로우가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-0989: HP Zero Day Initiative의 G. Geshev

  • Ruby

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    영향: Ruby on Rails에서 여러 가지 취약점이 발생함

    설명: Ruby on Rails에서 여러 가지 취약점이 발생합니다. 이 중 가장 심각한 취약점으로 인해 Ruby on Rails 응용 프로그램을 실행하는 시스템에서 임의 코드가 실행될 수 있습니다. 이러한 문제는 Ruby on Rails를 버전 2.3.18로 업데이트하여 해결되었습니다. 이 문제는 Mac OS X 10.6.8 이전 버전에서 업그레이드한 OS X Lion 또는 OS X Mountain Lion 시스템에 영향을 줄 수 있습니다. 사용자는 /usr/bin/gem 유틸리티를 사용하여 그러한 시스템에서 영향을 받는 gem을 업데이트할 수 있습니다.

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    대상: OS X Lion v10.7~v10.7.5, OS X Lion Server v10.7~v10.7.5, OS X Mountain Lion v10.8~v10.8.3

    영향: 인증된 사용자가 공유 디렉토리 외부에 파일을 쓸 수 있음

    설명: SMB 파일 공유가 활성화된 경우 인증된 사용자가 공유 디렉토리 외부에 파일을 쓸 수 있습니다. 이 문제는 향상된 접근 제어를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-0990: Wanrooij의 Ward

  • 참고: OS X v10.8.4부터 인터넷에서 다운로드한 Java Web Start(예 JNLP) 응용 프로그램은 Developer ID 인증서로 서명을 받아야 합니다. Gatekeeper는 다운로드된 Java Web Start 응용 프로그램에서 서명을 확인하고 제대로 서명되지 않은 경우 그러한 응용 프로그램이 실행되지 않도록 차단합니다.

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능, 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 인터넷을 사용하는 데는 위험이 따르기 마련입니다. 자세한 내용은 공급업체에 문의하십시오. 기타 회사 및 제품 이름은 각 소유자의 상표일 수 있습니다.

게시일: