iOS 7의 보안 콘텐츠에 관하여

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용을 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 참조할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 Apple 보안 업데이트를 참조하십시오.

• 인증 신뢰 정책

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 루트 인증서가 업데이트됨

  설명: 여러 인증서가 시스템 루트의 목록에서 추가되었거나 제거되었습니다.

• CoreGraphics

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 악의적으로 제작된 PDF 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: PDF 파일에서 JBIG2로 인코딩된 데이터를 처리할 때 버퍼 오버플로우가 발생합니다. 이 문제는 추가 범위 검사를 통해 해결되었습니다.

  CVE-ID

  CVE-2013-1025: Google 보안 팀의 Felix Groebert

• CoreMedia

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 악의적으로 제작된 동영상 파일을 재생하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: Sorenson으로 인코딩된 동영상 파일을 처리할 때 버퍼 오버플로우가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

  CVE-ID

  CVE-2013-1019: HP의 Zero Day Initiative에 참여 중인 Tom Gallagher(Microsoft) 및 Paul Bates(Microsoft)

• 데이터 보호

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: App에서 암호 시도 제한을 우회할 수 있음

  설명: 데이터 보호에 권한 분리 문제가 있습니다. 타사 샌드 박스 내의 App에서 사용자의 '데이터 지우기' 설정에 관계없이 사용자 암호 확인을 반복적으로 시도할 수 있습니다. 이 문제는 추가 자격 확인을 요구하여 해결되었습니다.

  CVE-ID

  CVE-2013-0957: Institute for Infocomm Research의 Jin Han과 Singapore Management University의 Qiang Yan 및 Su Mon Kywe

• 데이터 보안

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 권한 있는 네트워크 위치에 있는 공격자가 사용자 자격 증명 또는 기타 중요 정보를 가로챌 수 있음

  설명: TrustWave는 신뢰할 수 있는 루트 CA로, 신뢰할 수 있는 앵커 중 하나로부터 하위 CA 인증서를 발급하고 이어서 해지합니다. 이 하위 CA가 TLS(Transport Layer Security)에서 보호한 통신 인터셉션을 가능하게 합니다. 이 업데이트는 관련된 하위 CA 인증서를 OS X의 신뢰할 수 없는 인증서 목록에 추가합니다.

  CVE-ID

  CVE-2013-5134

• dyld

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 장비에서 임의 코드를 실행할 수 있는 공격자가 재부팅 간에 코드 실행을 지속할 수 있음

  설명: dyld의 openSharedCacheFile() 함수에 여러 버퍼 오버플로우가 발생하는 문제가 있습니다. 이러한 문제는 향상된 경계 검사를 통해 해결되었습니다.

  CVE-ID

  CVE-2013-3950: Stefan Esser

• 파일 시스템

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: HFS가 아닌 파일 시스템을 마운트할 수 있는 공격자가 예기치 않게 시스템을 종료하거나 커널 권한으로 임의 코드를 실행할 수 있음

  설명: AppleDouble 파일을 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 AppleDouble 파일에 대한 지원을 제거하여 해결되었습니다.

  CVE-ID

  CVE-2013-3955: Stefan Esser

• ImageIO

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 악의적으로 제작된 PDF 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: PDF 파일에서 JPEG2000으로 인코딩된 데이터를 처리할 때 버퍼 오버플로우가 발생합니다. 이 문제는 추가 범위 검사를 통해 해결되었습니다.

  CVE-ID

  CVE-2013-1026: Google 보안 팀의 Felix Groebert

• IOKit

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 백그라운드 응용 프로그램이 포그라운드 App에 사용자 인터페이스 이벤트를 주입할 수 있음

  설명: 백그라운드 응용 프로그램이 작업 완료 또는 VoIP API를 사용하여 포그라운드 응용 프로그램에 사용자 인터페이스 이벤트를 주입할 수 있습니다. 이 문제는 인터페이스 이벤트를 처리하는 포그라운드 및 백그라운드 프로세스에 접근 제어를 적용하여 해결되었습니다.

  CVE-ID

  CVE-2013-5137: Mobile Labs의 Mackenzie Straight

• IOKitUser

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 악성 로컬 응용 프로그램으로 인해 시스템이 예기치 않게 종료될 수 있음

  설명: IOCatalogue에 Null 포인터 역참조 문제가 발생합니다. 이 문제는 추가 유형 확인을 통해 해결되었습니다.

  CVE-ID

  CVE-2013-5138: Will Estes

• IOSerialFamily

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 악성 응용 프로그램을 실행할 경우 커널 내에서 임의 코드가 실행될 수 있음

  설명: IOSerialFamily 드라이버에 범위를 벗어난 어레이 접근 문제가 발생합니다. 이 문제는 추가 범위 검사를 통해 해결되었습니다.

  CVE-ID

  CVE-2013-5139: @dent1zt

• IPSec

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 공격자가 IPSec Hybrid Auth로 보호되는 데이터를 가로챌 수 있음

  설명: IPSec Hybrid Auth 서버의 DNS 이름이 인증서와 일치하지 않아 서버에 대한 인증서가 있는 공격자가 다른 사용자로 가장할 수 있었습니다. 이 문제는 향상된 인증서 확인을 통해 해결되었습니다.

  CVE-ID

  CVE-2013-1028: www.traud.de의 Alexander Traud

• 커널

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 원격 공격자가 장비의 예기치 않은 재시동을 야기할 수 있음

  설명: 잘못된 패킷 조각을 장비로 보내면 커널 어설션이 실행되어 장비가 재시동될 수 있습니다. 이 문제는 추가 패킷 조각 검증을 통해 해결되었습니다.

  CVE-ID

  CVE-2013-5140: Codenomicon의 Joonas Kuorilehto, CERT-FI에 근무하는 익명의 연구원, Stonesoft Vulnerability Analysis Group의 Antti Levomäki와 Lauri Virtanen

• 커널

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 악성 로컬 응용 프로그램으로 인해 장비가 중단될 수 있음

  설명: 커널 소켓 인터페이스의 정수 잘림 취약성을 악용하여 CPU에서 무한 루프를 발생시킬 수 있습니다. 이 문제는 더 큰 크기의 변수를 사용하여 해결되었습니다.

  CVE-ID

  CVE-2013-5141: CESG

• 커널

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 로컬 네트워크의 공격자가 서비스 거부를 일으킬 수 있음

  설명: 로컬 네트워크의 공격자가 특수하게 제작된 IPv6 ICMP 패킷을 보내 CPU 부하를 증가시킬 수 있습니다. 이 문제는 체크섬 확인 전 ICMP 패킷을 제한하는 등급을 통해 해결되었습니다.

  CVE-ID

  CVE-2011-2391: Marc Heuse

• 커널

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 커널 스택 메모리가 로컬 사용자에게 공개될 수 있음

  설명: msgctl 및 segctl API에 정보 공개 문제가 발생합니다. 이 문제는 커널에서 반환되는 데이터 구조를 초기화하여 해결되었습니다.

  CVE-ID

  CVE-2013-5142: Kenx Technology, Inc의 Kenzley Alphonse

• 커널

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 권한 없는 프로세스에서 커널 메모리의 콘텐츠에 접근하여 권한 에스컬레이션을 일으킬 수 있습니다.

  설명: mach_port_space_info API에 정보 공개 문제가 발생합니다. 이 문제는 커널에서 반환되는 구조의 iin_collision 필드를 초기화하여 해결되었습니다.

  CVE-ID

  CVE-2013-3953: Stefan Esser

• 커널

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 권한 없는 프로세스로 인해 시스템이 예기치 않게 종료되거나 커널에서 임의 코드가 실행될 수 있음

  설명: posix_spawn API에 대한 인수를 처리하는 데 메모리 손상 문제가 발생합니다. 이 문제는 추가 범위 검사를 통해 해결되었습니다.

  CVE-ID

  CVE-2013-3954: Stefan Esser

• Kext 관리

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 인증되지 않은 프로세스가 로드된 커널 확장 세트를 수정할 수 있음

  설명: kextd에서 인증되지 않은 보낸 사람의 IPC 메시지를 처리하는 데 문제가 있습니다. 이 문제는 인증 확인을 추가하여 해결되었습니다.

  CVE-ID

  CVE-2013-5145: 'Rainbow PRISM'

• libxml

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 악의적으로 제작된 웹 페이지를 보는 경우 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있음

  설명: libxml에서 여러 가지 메모리 손상 문제가 발생합니다. 이 문제는 libxml을 2.9.0 버전으로 업데이트하여 해결되었습니다.

  CVE-ID

  CVE-2011-3102: Jüri Aedla

  CVE-2012-0841

  CVE-2012-2807: Jüri Aedla

  CVE-2012-5134: Google Chrome 보안 팀(Jüri Aedla)

• libxslt

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 악의적으로 제작된 웹 페이지를 보는 경우 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있음

  설명: libxslt에서 여러 가지 메모리 손상 문제가 발생합니다. 이러한 문제는 libxslt를 1.1.28 버전으로 업데이트하여 해결되었습니다.

  CVE-ID

  CVE-2012-2825: Nicolas Gregoire

  CVE-2012-2870: Nicolas Gregoire

  CVE-2012-2871: Fortinet's FortiGuard Labs의 Kai Lu, Nicolas Gregoire

• 암호 잠금

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 장비에 물리적으로 접근할 수 있는 사람이 화면 잠금을 우회할 수 있음

  설명: 잠금 화면에서 전화 통화 및 SIM 카드 꺼내기를 처리하는 데 경합 상태 문제가 있습니다. 이 문제는 향상된 잠금 상태 관리를 통해 해결되었습니다.

  CVE-ID

  CVE-2013-5147: videosdebarraquito

• 개인용 핫스팟

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 공격자가 개인용 핫스팟 네트워크에 가입할 수 있음

  설명: 개인용 핫스팟 암호 생성에 공격자가 사용자의 개인용 핫스팟에 가입하여 암호를 예측할 수 있는 문제가 있습니다. 이 문제는 엔트로피가 더 높은 암호를 생성하여 해결되었습니다.

  CVE-ID

  CVE-2013-4616: NESO Security Labs의 Andreas Kurtz와 University Erlangen-Nuremberg의 Daniel Metz

• 푸시 알림

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 사용자의 결정과 반대로 푸시 알림 토큰이 App에 노출될 수 있습니다.

  설명: 푸시 알림 등록에 정보 유출 문제가 있습니다. 사용자가 App의 푸시 알림 사용을 승인하기 전에 푸시 알림에 대한 접근을 요청한 App에 토큰이 제공됩니다. 이 문제는 사용자가 접근을 승인할 때까지 토큰에 대한 접근을 보류하여 해결되었습니다.

  CVE-ID

  CVE-2013-5149: Grouper, Inc.의 Jack Flintermann

• Safari

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: XML 파일을 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 추가 범위 검사를 통해 해결되었습니다.

  CVE-ID

  CVE-2013-1036: Fortinet FortiGuard Labs의 Kai Lu

• Safari

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 최근에 방문한 페이지 기록을 지운 후에도 열린 탭에 이 기록이 남아 있을 수 있습니다.

  설명: Safari의 기록을 지울 때 열린 탭에 대한 뒤로/앞으로 기록이 지워지지 않습니다. 이 문제는 뒤로/앞으로 기록을 지워 해결되었습니다.

  CVE-ID

  CVE-2013-5150

• Safari

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 웹 사이트에서 파일을 볼 때 서버에서 'Content-Type: text/plain' 헤더를 보낸 경우에도 스크립트가 실행될 수 있음

  설명: 서버에서 'Content-Type: text/plain' 헤더를 보낸 경우에도 Mobile Safari가 파일을 HTML 파일로 처리하는 경우가 있습니다. 이로 인해 사이트에서 사용자가 파일을 업로드하도록 허용하는 크로스 사이트 스크립팅이 발생할 수 있습니다. 이 문제는 'Content-Type: text/plain'이 설정된 경우 향상된 파일 처리를 통해 해결되었습니다.

  CVE-ID

  CVE-2013-5151: Github의 Ben Toews

• Safari

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 악성 웹 사이트를 방문할 경우 임의 URL이 표시될 수 있음

  설명: Mobile Safari에서 URL 표시줄 변조 문제가 있습니다. 이 문제는 향상된 URL 추적을 통해 해결되었습니다.

  CVE-ID

  CVE-2013-5152: keitahaga.com의 Keita Haga, RBS의 Łukasz Pilorz

• 샌드 박스

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 스크립트가 있는 응용 프로그램이 샌드 박싱되지 않습니다.

  설명: #! 구문을 사용하여 스크립트를 실행하는 타사 응용 프로그램이 스크립트가 아니라 스크립트 인터프리터의 ID에 따라 샌드 박싱됩니다. 인터프리터에 샌드 박스가 정의되어 있지 않을 수 있으며, 이로 인해 응용 프로그램이 샌드 박싱되지 않은 상태로 실행될 수 있습니다. 이 문제는 스크립트의 ID에 따라 샌드 박스를 생성하여 해결되었습니다.

  CVE-ID

  CVE-2013-5154: evad3rs

• 샌드 박스

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 응용 프로그램으로 인해 시스템이 중단될 수 있음

  설명: /dev/random 장비에 특정 값을 기록하는 악성 타사 응용 프로그램이 CPU에서 무한 루프를 발생시킬 수 있습니다. 이 문제는 타사 응용 프로그램이 /dev/random에 기록하는 것을 방지하여 해결되었습니다.

  CVE-ID

  CVE-2013-5155: CESG

• 소셜

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 사용자의 최근 Twitter 활동이 암호 없이 장비에 노출될 수 있음

  설명: 사용자가 최근에 사용한 Twitter 계정을 확인할 수 있는 문제가 있습니다. 이 문제는 Twitter 아이콘 캐시에 대한 접근을 제한하여 해결되었습니다.

  CVE-ID

  CVE-2013-5158: Jonathan Zdziarski

• 스프링보드

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 분실 모드의 장비에 물리적으로 접근할 수 있는 사람이 알림을 볼 수 있음

  설명: 장비가 분실 모드에 있는 경우 알림 처리에 문제가 있습니다. 이 업데이트는 향상된 잠금 상태 관리를 통해 문제를 해결합니다.

  CVE-ID

  CVE-2013-5153: Daniel Stangroom

• 전화 통신

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 악성 App이 전화 통신 기능을 방해하거나 제어할 수 있습니다.

  설명: 전화 통신 하위 시스템에 접근 제어 문제가 있습니다. 지원되는 API를 우회하는 샌드 박싱된 App에서 시스템 데몬에 직접 요청하여 전화 통신 기능을 방해하거나 제어할 수 있습니다. 이 문제는 전화 통신 데몬에서 노출하는 인터페이스에 접근 제어를 적용하여 해결되었습니다.

  CVE-ID

  CVE-2013-5156: Singapore Management University의 Qiang Yan 및 Su Mon Kywe와 협력하는 Institute for Infocomm Research의 Jin Han, Georgia Institute of Technology의 Tielei Wang, Kangjie Lu, Long Lu, Simon Chung 및 Wenke Lee

• Twitter

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 샌드 박싱된 App에서 사용자의 개입이나 허락 없이 트윗을 보낼 수 있습니다.

  설명: Twitter 하위 시스템에 접근 제어 문제가 있습니다. 지원되는 API를 우회하는 샌드 박스 처리된 App에서 시스템 데몬에 직접 요청하여 Twitter 기능을 방해하거나 제어할 수 있습니다. 이 문제는 Twitter 데몬에서 노출하는 인터페이스에 접근 제어를 적용하여 해결되었습니다.

  CVE-ID

  CVE-2013-5157: Singapore Management University의 Qiang Yan 및 Su Mon Kywe와 협력하는 Institute for Infocomm Research의 Jin Han, Georgia Institute of Technology의 Tielei Wang, Kangjie Lu, Long Lu, Simon Chung 및 Wenke Lee

• WebKit

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 여러 가지 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

  CVE-ID

  CVE-2013-0879: OUSPG의 Atte Kettunen

  CVE-2013-0991: Chromium 개발 커뮤니티의 Jay Civelli

  CVE-2013-0992: Google Chrome 보안 팀(Martin Barbella)

  CVE-2013-0993: Google Chrome 보안 팀(Inferno)

  CVE-2013-0994: Google의 David German

  CVE-2013-0995: Google Chrome 보안 팀(Inferno)

  CVE-2013-0996: Google Chrome 보안 팀(Inferno)

  CVE-2013-0997: HP의 Zero Day Initiative에 참여 중인 Vitaliy Toropov

  CVE-2013-0998: HP의 Zero Day Initiative에 참여 중인 pa_kt

  CVE-2013-0999: HP의 Zero Day Initiative에 참여 중인 pa_kt

  CVE-2013-1000: Google 보안 팀의 Fermin J. Serna

  CVE-2013-1001: Ryan Humenick

  CVE-2013-1002: Sergey Glazunov

  CVE-2013-1003: Google Chrome 보안 팀(Inferno)

  CVE-2013-1004: Google Chrome 보안 팀(Martin Barbella)

  CVE-2013-1005: Google Chrome 보안 팀(Martin Barbella)

  CVE-2013-1006: Google Chrome 보안 팀(Martin Barbella)

  CVE-2013-1007: Google Chrome 보안 팀(Inferno)

  CVE-2013-1008: Sergey Glazunov

  CVE-2013-1010: miaubiz

  CVE-2013-1037: Google Chrome 보안 팀

  CVE-2013-1038: Google Chrome 보안 팀

  CVE-2013-1039: iDefense VCP의 own-hero Research

  CVE-2013-1040: Google Chrome 보안 팀

  CVE-2013-1041: Google Chrome 보안 팀

  CVE-2013-1042: Google Chrome 보안 팀

  CVE-2013-1043: Google Chrome 보안 팀

  CVE-2013-1044: Apple

  CVE-2013-1045: Google Chrome 보안 팀

  CVE-2013-1046: Google Chrome 보안 팀

  CVE-2013-1047: miaubiz

  CVE-2013-2842: Cyril Cattiaux

  CVE-2013-5125: Google Chrome 보안 팀

  CVE-2013-5126: Apple

  CVE-2013-5127: Google Chrome 보안 팀

  CVE-2013-5128: Apple

• WebKit

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 악성 웹 사이트를 방문하는 경우 정보가 공개될 수 있음

  설명: window.webkitRequestAnimationFrame() API를 처리할 때 정보 공개 문제가 발생합니다. 악의적으로 제작된 웹 사이트에서 iframe을 사용하여 다른 사이트에서 window.webkitRequestAnimationFrame()을 사용하는지 확인할 수 있습니다. 이 문제는 향상된 window.webkitRequestAnimationFrame() 처리를 통해 해결되었습니다.
  
  CVE-ID

  CVE-2013-5159

• WebKit

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 악성 HTML 스니핏을 복사하여 붙여넣기 하는 경우 크로스 사이트 스크립팅 공격을 당할 수 있음

  설명: HTML 문서에서 복사하여 붙여 넣기한 데이터를 처리할 때 크로스 사이트 스크립팅 문제가 발생합니다. 이 문제는 붙여 넣은 콘텐츠의 추가 검증을 통해 해결되었습니다.

  CVE-ID

  CVE-2013-0926: xys3c(xysec.com)의 Aditya Gupta, Subho Halder 및 Dev Kar

• WebKit

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 크로스 사이트 스크립팅 공격을 당할 수 있음

  설명: iframes를 처리할 때 크로스 사이트 스크립팅 문제가 발생합니다. 이 문제는 향상된 출처 추적을 통해 해결되었습니다.

  CVE-ID

  CVE-2013-1012: Facebook의 Subodh Iyengar 및 Erling Ellingsen

• WebKit

  대상: iPhone 3GS 이후, iPod touch (4th generation) 이후, iPad 2 이후 모델

  영향: 악의적으로 제작된 웹 사이트를 방문하면 정보가 공개될 수 있음

  설명: XSSAuditor에 정보 유출 문제가 있습니다. 이 문제는 향상된 URL 처리를 통해 해결되었습니다.

  CVE-ID

  CVE-2013-2848: Egor Homakov

• WebKit

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 선택 항목을 드래그하거나 붙여 넣을 때 크로스 사이트 스크립팅 공격이 발생할 수 있음

  설명: 선택 항목을 한 사이트에서 다른 사이트로 드래그하거나 붙여 넣으면 선택 항목에 포함된 스크립트가 새 사이트의 컨텍스트에서 실행될 수 있습니다. 이 문제는 붙여 넣기 또는 드래그 앤 드롭 작업을 수행하기 전에 콘텐츠의 추가 검증을 통해 해결됩니다.

  CVE-ID

  CVE-2013-5129: Mario Heiderich

• WebKit

  대상: iPhone 4 이후, iPod touch (5th generation) 이후, iPad 2 이후 모델

  영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 크로스 사이트 스크립팅 공격을 당할 수 있음

  설명: URL을 처리할 때 크로스 사이트 스크립팅 문제가 발생합니다. 이 문제는 향상된 출처 추적을 통해 해결되었습니다.

  CVE-ID

  CVE-2013-5131: Erling A Ellingsen