OS X Mountain Lion v10.8.5 및 보안 업데이트 2013-004의 보안 콘텐츠에 관하여

이 문서에서는 OS X Mountain Lion v10.8.5 및 보안 업데이트 2013-004의 보안 콘텐츠에 대해 설명합니다.

이러한 업데이트는 소프트웨어 업데이트 환경설정 또는 Apple 다운로드를 통해 다운로드하여 설치할 수 있습니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용을 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 참조할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용을 알아보려면 'Apple 보안 업데이트'를 참조하십시오.

OS X Mountain Lion v10.8.5 및 보안 업데이트 2013-004

  • Apache

    대상: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

    영향: Apache에서 여러 가지 취약성 발생

    설명: Apache에 여러 가지 취약성이 발생합니다. Apache의 여러 가지 취약성 중 가장 심각한 취약성으로 인해 교차 사이트 스크립팅이 초래될 수 있습니다. 이러한 문제는 Apache를 버전 2.2.24로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • BIND

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

    영향: BIND에서 여러 가지 취약성 발생

    설명: BIND에 여러 가지 취약성이 있습니다. 그 중 가장 심각한 취약성은 서비스가 거부될 수 있다는 것입니다. 이러한 문제는 BIND를 버전 9.8.5-P1로 업데이트하여 해결되었습니다. CVE-2012-5688은 Mac OS X v10.7 시스템에는 영향을 주지 않았습니다.

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • 인증 신뢰 정책

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

    영향: 루트 인증서가 업데이트되었음

    설명: 여러 인증서가 시스템 루트의 목록에서 추가되거나 제거되었습니다. 키체인 접근 응용 프로그램을 통해 인식된 시스템 루트의 전체 목록을 볼 수 있습니다.

  • ClamAV

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

    영향: ClamAV에서 여러 가지 취약성 발생

    설명: ClamAV에 여러 가지 취약성이 발생합니다. 이 중 가장 심각한 취약성으로 인해 임의 코드가 실행될 수 있습니다. 이 업데이트는 ClamAV를 버전 0.97.8로 업데이트하여 문제를 해결합니다.

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    대상: OS X Mountain Lion v10.8~v10.8.4

    영향: 악의적으로 제작된 PDF 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: PDF 파일에서 JBIG2로 인코딩된 데이터를 처리할 때 버퍼 오버플로우가 발생합니다. 이 문제는 추가 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-1025: Google 보안 팀의 Felix Groebert

  • ImageIO

    대상: OS X Mountain Lion v10.8~v10.8.4

    영향: 악의적으로 제작된 PDF 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: PDF 파일에서 JPEG2000으로 인코딩된 데이터를 처리할 때 버퍼 오버플로우가 발생합니다. 이 문제는 추가 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-1026: Google 보안 팀의 Felix Groebert

  • 설치 프로그램

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

    영향: 인증서 해지 후 패키지를 열 수 있음

    설명: 설치 프로그램에서 해지된 인증서를 발견하면 계속 진행하는 옵션이 나온 대화상자가 나타납니다. 이 문제는 대화상자를 제거하고 해지된 패키지를 거부하여 해결되었습니다.

    CVE-ID

    CVE-2013-1027

  • IPSec

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

    영향: 공격자가 IPSec Hybrid Auth로 보호되는 데이터를 가로챌 수 있음

    설명: IPSec Hybrid Auth 서버의 DNS 이름이 인증서와 일치하지 않아 서버에 대한 인증서가 있는 공격자가 다른 사용자로 가장할 수 있었습니다. 이 문제는 인증서를 적절하게 확인하여 해결되었습니다.

    CVE-ID

    CVE-2013-1028: www.traud.de의 Alexander Traud

  • 커널

    대상: OS X Mountain Lion v10.8~v10.8.4

    영향: 로컬 네트워크 사용자에게 서비스 거부가 발생할 수도 있습니다.

    설명: 커널에서 IGMP 패킷 구문 분석 코드를 잘못 검사하여 시스템에 IGMP 패킷을 보낼 수 있는 사용자에게 커널 패닉이 발생할 수 있습니다. 이 문제는 검사를 제거하여 해결되었습니다.

    CVE-ID

    CVE-2013-1029: PROTECTSTAR INC.의 Christopher Bohn

  • 휴대용 장비 관리

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

    영향: 암호가 다른 로컬 사용자에게 노출될 수 있음

    설명: 암호가 명령어 라인에서 mdmclient로 전달되어 같은 시스템에 있는 다른 사용자에게 표시될 수 있습니다. 이 문제는 파이프를 통해 전송하여 해결되었습니다.

    CVE-ID

    CVE-2013-1030: Gothenburg 대학의 Per Olofsson

  • OpenSSL

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

    영향: OpenSSL에서 여러 가지 취약성 발생

    설명: OpenSSL에 여러 가지 취약성이 발생합니다. 그 중 가장 심각한 취약성은 사용자 데이터가 노출될 수 있다는 것입니다. 이러한 문제는 OpenSSL을 버전 0.9.8y로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

    영향: PHP에서 여러 가지 취약성 발생

    설명: PHP에 여러 가지 취약성이 발생합니다. 그 중 가장 심각한 취약성은 임의 코드가 실행될 수 있다는 것입니다. 이 문제는 PHP를 버전 5.3.26으로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

    영향: PostgreSQL에서 여러 가지 취약성 발생

    설명: PostgreSQL에 여러 가지 취약성이 발생합니다. 그 중 가장 심각한 취약성은 데이터 손상 또는 권한 에스컬레이션이 발생할 수 있다는 것입니다. CVE-2013-1901은 OS X Lion 시스템에 영향을 미치지 않습니다. 이 업데이트는 PostgreSQL를 OS X Mountain Lion 시스템에서 버전 9.1.9로 업데이트하고 OS X Lion 시스템에서 9.0.4로 업데이트하여 문제를 해결합니다.

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • 전원 관리

    대상: OS X Mountain Lion v10.8~v10.8.4

    영향: 지정된 시간 후 화면 보호기가 시작되지 않을 수 있음

    설명: 전원 어설션 잠금에 문제가 발생합니다. 이 문제는 향상된 잠금 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-1031

  • QuickTime

    대상: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

    영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QuickTime 동영상 파일에서 'idsc' 아톰(Atom)을 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 추가 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-1032: iDefense VCP와 협력하는 Jason Kratzer

  • 화면 잠금

    대상: OS X Mountain Lion v10.8~v10.8.4

    영향: 화면 공유 접근 권한이 있는 사용자가 다른 사용자가 로그인하면 화면 잠금을 건너뛸 수 없음

    설명: 화면 잠금의 화면 공유 세션 처리에 세션 관리 문제가 있습니다. 이 문제는 향상된 세션 추적을 통해 해결되었습니다.

    CVE-ID

    CVE-2013-1033: Atos IT Solutions의 Jeff Grisso, Sébastien Stormacq

  • sudo

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8~v10.8.4

    영향: 관리자 계정의 제어 권한이 있는 공격자가 사용자의 암호를 모르는 상태에서 루트 권한을 얻을 수 있음

    설명: 공격자가 시스템 시계를 설정하여 sudo를 사용, 이전에 sudo가 사용된 적이 있는 시스템의 루트 권한을 얻을 수 있습니다. OS X에서는 관리자만 시스템 시계를 변경할 수 있습니다. 이 문제는 유효하지 않은 타임스탬프를 점검하여 해결되었습니다.

    CVE-ID

    CVE-2013-1775

 

  • 참고: OS X Mountain Lion v10.8.5에서도 특정 유니코드 문자열로 인해 응용 프로그램이 예기치 않게 종료될 수 있는 문제를 해결합니다.

 

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능, 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 인터넷을 사용하는 데는 위험이 따르기 마련입니다. 자세한 내용은 공급업체에 문의하십시오. 기타 회사 및 제품 이름은 각 소유자의 상표일 수 있습니다.

게시일: