OS X Mavericks v10.9의 보안 콘텐츠에 정보
이 문서에서는 OS X Mavericks v10.9의 보안 콘텐츠에 대해 설명합니다.
Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용을 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.
Apple 제품 보안 PGP 키에 관한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.
가능한 경우 CVE ID로 취약성에 대한 추가 정보를 참조할 수 있습니다.
다른 보안 업데이트에 대한 자세한 내용은 Apple 보안 업데이트를 참조하십시오.
OS X Mavericks v10.9
응용 프로그램 방화벽
영향: socketfilterfw --blockApp이 응용 프로그램에서 네트워크 연결을 수신하는 것을 차단하지 못할 수 있습니다.
설명: socketfilterfw 명령어 라인 도구의 --blockApp 옵션이 응용 프로그램에서 네트워크 연결을 수신하는 것을 제대로 차단하지 못했습니다. 이 문제는 향상된 --blockApp 옵션 처리를 통해 해결되었습니다.
CVE-ID
CVE-2013-5165: PopCap Games의 Alexander Frangis
App 샌드 박스
영향: App 샌드 박스가 우회될 수 있습니다.
설명: 응용 프로그램을 실행하는 LaunchServices 인터페이스에서 샌드 박스 처리된 App이 새 프로세스로 전달되는 인수 목록을 지정하도록 허용했습니다. 손상된 샌드 박스 처리된 응용 프로그램은 이를 남용하여 샌드 박스를 우회할 수 있습니다. 이 문제를 샌드 박스 처리된 응용 프로그램이 인수를 지정하지 못하도록 하여 해결되었습니다.
CVE-ID
CVE-2013-5179: Soulmen GbR의 Friedrich Graeter
Bluetooth
영향: 악성 로컬 응용 프로그램이 예기치 않은 시스템 종료를 일으킬 수 있습니다.
설명: Bluetooth USB 호스트 컨트롤러가 이후 작업에 필요한 인터페이스를 삭제했습니다. 이 문제는 더 이상 필요하지 않을 때까지 인터페이스를 유지하여 해결되었습니다.
CVE-ID
CVE-2013-5166: Computer and Network Security Lab(LaSER), Università degli Studi di Milano의 Stefano Bianchi Mazzone, Mattia Pagnozzi 및 Aristide Fattori
CFNetwork
영향: Safari를 재설정한 후에도 세션 쿠키가 유지될 수 있습니다.
설명: Safari를 재설정한 경우 Safari가 닫힐 때까지 세션 쿠키가 삭제되지 않을 수 있습니다. 이 문제는 향상된 세션 쿠키 처리를 통해 해결되었습니다.
CVE-ID
CVE-2013-5167: Amherst College의 Graham Bennett과 Rob Ansaldo
CFNetwork SSL
영향: 공격자가 SSL 연결의 일부의 암호화를 해제할 수 있습니다.
설명: SSLv3 및 TLS 1.0 버전의 SSL만 사용됩니다. 이 버전은 블록 암호를 사용할 때 프로토콜 취약점이 있습니다. 가로채기 공격자가 올바르지 않은 데이터를 주입하여 연결이 끊기고 이전 데이터의 일부가 공개되었을 수 있습니다. 동일한 연결을 반복적으로 시도한 경우, 전송 중인 데이터(예: 암호)의 암호화를 공격자가 결국 해제했을 수 있습니다. 이 문제는 TLS 1.2를 활성화하여 해결되었습니다.
CVE-ID
CVE-2011-3389
콘솔
영향: 악성 로그 항목을 클릭하면 응용프로그램이 예기치 않게 실행될 수 있습니다.
설명: 이 업데이트에서는 연결된 URL이 있는 로그 항목을 클릭한 경우의 콘솔 동작을 수정했습니다. 이제 URL을 여는 대신 콘솔에서 훑어보기를 통해 URL의 미리보기를 표시합니다.
CVE-ID
CVE-2013-5168: vtty.com의 Aaron Sigel
CoreGraphics
영향: 디스플레이 잠자기 후 잠금 화면에 윈도우가 표시될 수 있습니다.
설명: CoreGraphics의 디스플레이 잠자기 모드 처리에 데이터 손상을 일으켜 잠금 화면에 윈도우가 표시될 수 있는 로직 문제가 존재합니다. 이 문제는 향상된 디스플레이 잠자기 처리를 통해 해결되었습니다.
CVE-ID
CVE-2013-5169
CoreGraphics
영향: 악의적으로 제작된 PDF 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.
설명: PDF 파일을 처리할 때 버퍼 언더플로우가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2013-5170: CERT/CC의 Will Dormann
CoreGraphics
영향: 보안 입력 모드가 활성화된 경우에도 권한 없는 응용 프로그램이 다른 응용 프로그램에 입력된 키 입력을 로깅할 수 있습니다.
설명: 보안 입력 모드가 활성화된 경우에도 권한 없는 응용 프로그램이 단축키 이벤트를 등록하여 다른 응용 프로그램에 입력된 키 입력을 로깅할 수 있습니다. 이 문제는 단축키 이벤트의 추가 검증을 통해 해결되었습니다.
CVE-ID
CVE-2013-5171
curl
영향: curl의 여러 가지 취약점
설명: curl의 여러 가지 취약점 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있습니다. 이 문제는 curl을 버전 7.30.0로 업데이트하여 해결되었습니다.
CVE-ID
CVE-2013-0249
CVE-2013-1944
dyld
영향: 장비에서 임의 코드를 실행할 수 있는 공격자가 재부팅 간에 코드 실행을 지속할 수 있습니다.
설명: dyld의 openSharedCacheFile() 함수에 여러 버퍼 오버플로우가 발생하는 문제가 있습니다. 이러한 문제는 향상된 경계 검사를 통해 해결되었습니다.
CVE-ID
CVE-2013-3950: Stefan Esser
IOKitUser
영향: 악성 로컬 응용 프로그램이 예기치 않은 시스템 종료를 일으킬 수 있습니다.
설명: IOCatalogue에 Null 포인터 역참조 문제가 발생합니다. 이 문제는 추가 유형 검사를 통해 해결되었습니다.
CVE-ID
CVE-2013-5138: Will Estes
IOSerialFamily
영향: 악성 응용 프로그램을 실행할 경우 커널 내에서 임의 코드가 실행될 수 있습니다.
설명: IOSerialFamily 드라이버에 범위를 벗어난 어레이 액세스 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2013-5139: @dent1zt
커널
영향: 커널에서 SHA-2 다이제스트 기능을 사용할 경우 시스템이 예기치 않게 종료될 수 있습니다.
설명: SHA-2 다이제스트 기능 집합에 잘못된 출력 길이가 사용되었습니다. 이러한 기능이 사용된 경우 주로 IPSec 연결 중에 커널 패닉이 발생합니다. 이 문제는 필요한 출력 길이의 사용을 통해 해결되었습니다.
CVE-ID
CVE-2013-5172: Lobotomo Software의 Christoph Nadig
커널
영향: 커널 스택 메모리가 로컬 사용자에게 공개될 수 있습니다.
설명: msgctl 및 segctl API에 정보 공개 문제가 발생합니다. 이 문제는 커널에서 반환되는 데이터 구조를 초기화하여 해결되었습니다.
CVE-ID
CVE-2013-5142: Kenx Technology, Inc의 Kenzley Alphonse
커널
영향: 로컬 사용자에게 서비스 거부가 발생할 수도 있습니다.
설명: 커널 난수 생성기는 userspace의 요청을 충족하는 동안 잠금 상태로 유지됩니다. 이를 통해 로컬 사용자는 대규모 요청을 보내 장기간 잠금을 유지할 수 있으므로 난수 생성기의 다른 사용자에 대한 서비스가 지연됩니다. 이 문제는 대규모 요청에 대한 잠금을 보다 자주 해제하고 다시 받아들임으로써 해결되었습니다.
CVE-ID
CVE-2013-5173: Aalto University의 Jaakko Pero
커널
영향: 권한 없는 로컬 사용자가 예상치 않은 시스템 종료를 일으킬 수 있습니다.
설명: tty 읽기를 처리할 때 정수 서명 문제가 존재합니다. 이 문제는 향상된 tty 읽기 처리를 통해 해결되었습니다.
CVE-ID
CVE-2013-5174: CESG
커널
영향: 로컬 사용자가 커널 메모리 정보 유출 또는 예상치 않은 시스템 종료를 일으킬 수 있습니다.
설명: Mach-O 파일을 처리할 때 읽기 범위를 벗어나는 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2013-5175
커널
영향: 로컬 사용자가 시스템 중단을 일으킬 수 있습니다.
설명: tty 장비를 처리할 때 정수 잘림 문제가 존재합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2013-5176: CESG
커널
영향: 로컬 사용자가 예상치 않은 시스템 종료를 일으킬 수 있습니다.
설명: 사용자가 제공한 잘못된 iovec 구조가 검색된 경우 커널 패닉이 발생합니다. 이 문제는 향상된 iovec 구조 검증을 통해 해결되었습니다.
CVE-ID
CVE-2013-5177: CESG
커널
영향: 권한 없는 프로세스가 예기치 않게 시스템을 종료시키거나 커널에서 임의 코드를 실행할 수 있습니다.
설명: posix_spawn API에 대한 인수를 처리하는 데 메모리 손상 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2013-3954: Stefan Esser
커널
영향: Wi-Fi 네트워크를 사용할 때 소스 관련 멀티캐스트 프로그램이 예상치 않은 시스템 종료를 일으킬 수 있습니다.
설명: 멀티캐스트 패킷 처리에 오류 확인 문제가 존재합니다. 이 문제는 향상된 멀티캐스트 패킷 처리를 통해 해결되었습니다.
CVE-ID
CVE-2013-5184: Octoshape
커널
영향: 로컬 네트워크의 공격자가 서비스 거부를 일으킬 수 있습니다.
설명: 로컬 네트워크의 공격자가 특수하게 제작된 IPv6 ICMP 패킷을 보내 CPU 부하를 증가시킬 수 있습니다. 이 문제는 체크섬 확인 전 ICMP 패킷을 제한하는 등급을 통해 해결되었습니다.
CVE-ID
CVE-2011-2391: Marc Heuse
커널
영향: 악성 로컬 응용 프로그램이 시스템을 중단시킬 수 있습니다.
설명: 커널 소켓 인터페이스의 정수 잘림 문제를 악용하여 CPU에서 무한 루프를 발생시킬 수 있습니다. 이 문제는 더 큰 크기의 변수를 사용하여 해결되었습니다.
CVE-ID
CVE-2013-5141: CESG
Kext 관리
영향: 승인되지 않은 프로세스가 일부 로드된 커널 확장을 비활성화할 수 있습니다.
설명: kext 관리에서 인증되지 않은 보낸 사람의 IPC 메시지를 처리하는 데 문제가 있습니다. 이 문제는 인증 확인을 추가하여 해결되었습니다.
CVE-ID
CVE-2013-5145: 'Rainbow PRISM'
LaunchServices
영향: 파일이 잘못된 확장자를 표시할 수 있습니다.
설명: 특정 유니코드 문자 처리에 잘못된 확장자가 파일 이름에 표시될 수 있는 문제가 있습니다. 이 문제는 파일 이름 표시에서 안전하지 않은 유니코드 문자를 필터링하여 해결되었습니다.
CVE-ID
CVE-2013-5178: Mozilla Corporation의 Jesse Ruderman, Intego의 Stephane Sudre
Libc
영향: 특수한 상황에서 일부 난수를 예측할 수 있습니다.
설명: 커널 난수 생성기에서 srandomdev()에 액세스할 수 없는 경우 이 함수가 최적화에 의해 제거된 다른 메서드로 대체되어 임의성이 결여됩니다. 이 문제는 최적화에 따라 코드를 올바르게 수정하여 해결되었습니다.
CVE-ID
CVE-2013-5180: Xi Wang
Mail 계정
영향: Mail에서 사용 가능한 가장 안전한 인증 방법을 선택하지 못할 수 있습니다.
설명: 특정 메일 서버에서 메일 계정을 자동 구성할 때 Mail App이 CRAM-MD5 인증을 통해 일반 텍스트 인증을 선택합니다. 이 문제는 향상된 로직 처리를 통해 해결되었습니다.
CVE-ID
CVE-2013-5181
메일 헤더 표시
영향: 서명되지 않은 메시지가 올바르게 서명된 것으로 표시될 수 있습니다.
설명: Mail의 서명되지 않은 메시지 처리에 multipart/signed 부분이 포함되는 로직 문제가 있습니다. 이 문제는 향상된 서명되지 않은 메시지 처리를 통해 해결되었습니다.
CVE-ID
CVE-2013-5182: Technische Universität Dresden의 Michael Roitzsch
메일 네트워킹
영향: TLS가 아닌 암호화가 구성된 경우 정보가 일반 텍스트로 간략하게 전송될 수 있습니다.
설명: Kerberos 인증을 사용하고 전송 계층 보안을 사용하지 않는 경우 Mail에서 일부 암호화되지 않은 데이터를 메일 서버로 전송하여 예상치 않은 연결 종료를 일으킵니다. 이 문제는 향상된 이 구성 처리를 통해 해결되었습니다.
CVE-ID
CVE-2013-5183: www.qoxp.net의 Richard E. Silverman
OpenLDAP
영향: ldapsearch 명령어 라인 도구가 minssf 구성을 적용하지 않습니다.
설명: ldapsearch 명령어 라인 도구가 minssf 구성을 적용하지 않아 취약한 암호화가 예기치 않게 허용될 수 있습니다. 이 문제는 향상된 minssf 구성 처리를 통해 해결되었습니다.
CVE-ID
CVE-2013-5185
perl
영향: Perl 스크립트가 서비스 거부에 취약할 수 있습니다.
설명: 오래된 버전의 Perl에서 사용되던 rehash 메커니즘은 신뢰할 수 없는 입력을 해시 키로 사용하는 스크립트에서 서비스 거부에 취약할 수 있습니다. 이 문제는 Perl 5.16.2로 업데이트하여 해결되었습니다.
CVE-ID
CVE-2013-1667
전원 관리
영향: 지정된 시간 후 화면 잠금이 적용되지 않을 수 있습니다.
설명: 전원 어설션 관리에 잠금 문제가 있습니다. 이 문제는 향상된 잠금 처리를 통해 해결되었습니다.
CVE-ID
CVE-2013-5186: Sensible DB Design의 David Herman
python
영향: Python 2.7의 여러 가지 취약점
설명: python 2.7.2의 여러 가지 취약점 중 가장 심각한 취약점으로 인해 SSL 연결 콘텐츠의 암호가 해독될 수 있습니다. 이 업데이트는 python을 버전 2.7.5로 업데이트하여 이 문제를 해결합니다. 자세한 내용은 python 사이트(http://www.python.org/download/releases/)에서 확인할 수 있습니다.
CVE-ID
CVE-2011-3389
CVE-2011-4944
CVE-2012-0845
CVE-2012-0876
CVE-2012-1150
python
영향: Python 2.6의 여러 가지 취약점
설명: python 2.6.7의 여러 가지 취약점 중 가장 심각한 취약점으로 인해 SSL 연결 콘텐츠의 암호가 해독될 수 있습니다. 이 업데이트는 python을 버전 2.6.8로 업데이트하고 Python 프로젝트에서 CVE-2011-4944에 대한 패치를 적용하여 이 문제를 해결합니다. 추가 정보는 Python 사이트(http://www.python.org/download/releases/)에서 확인할 수 있습니다.
CVE-ID
CVE-2011-3389
CVE-2011-4944
CVE-2012-0845
CVE-2012-0876
CVE-2012-1150
ruby
영향: 권한 있는 네트워크 위치에 있는 공격자가 사용자 자격 증명 또는 기타 중요 정보를 가로챌 수 있습니다.
설명: Ruby의 SSL 인증서 처리에 호스트 이름 검증 문제가 있습니다. 이 문제는 Ruby를 버전 2.0.0p247로 업데이트하여 해결되었습니다.
CVE-ID
CVE-2013-4073
보안
영향: MD5 해시를 사용한 X.509 인증서가 지원되면 공격이 진행됨에 따라 사용자가 변조 및 정보 공개에 노출될 수 있습니다.
설명: MD5 해시 알고리즘을 사용하여 서명된 인증서가 OS X에서 허용됩니다. 이 알고리즘에는 알려진 암호화 취약성이 있습니다. 추가 조사 또는 잘못 구성된 인증 기관을 통해 공격자가 제어하는 값으로 X.509 인증서를 작성할 수 있게 되는데, 이 인증서를 시스템에서 신뢰하게 됩니다. 그러면 X.509 기반 프로토콜에서 변조, 가로채기 공격 및 정보 공개가 발생할 수 있습니다. 이 업데이트를 사용하면 신뢰할 수 있는 루트 인증서가 아닌 MD5 해시를 사용하는 X.509 인증서에 대한 지원을 사용할 수 없습니다.
CVE-ID
CVE-2011-3427
보안 - 인증
영향: 관리자의 보안 환경설정이 적용되지 않을 수 있습니다.
설명: '잠금 아이콘이 있는 시스템 환경설정에 접근할 때 관리자 암호 요구' 설정을 통해 관리자가 민감한 시스템 설정에 추가 보호 계층을 추가할 수 있습니다. 관리자가 이 설정을 활성화한 경우 소프트웨어 업데이트 또는 업그레이드를 적용하면 이후에 이 설정이 비활성화될 수 있습니다. 이 문제는 향상된 인증 권한 처리를 통해 해결되었습니다.
CVE-ID
CVE-2013-5189: Greg Onufer
보안 - 스마트 카드 서비스
영향: 인증서 해지 확인이 활성화된 경우 스마트 카드 서비스를 사용할 수 없습니다.
설명: OS X의 스마트 카드 인증서 해지 확인 처리에 로직 문제가 있습니다. 이 문제는 향상된 인증서 해지 지원을 통해 해결되었습니다.
CVE-ID
CVE-2013-5190: Centrify Corporation의 Yongjun Jeon
화면 잠금
영향: '화면 잠금' 명령이 즉시 적용되지 않을 수 있습니다.
설명: '잠자기 또는 화면 보호기 시작 후 [시간]이 지나면 암호 요구' 설정이 경과할 때까지 키체인 상태 메뉴 막대 항목의 '화면 잠금' 명령이 적용되지 않습니다.
CVE-ID
CVE-2013-5187: OrganicOrb.com의 Michael Kisor, NTNU(Norwegian University of Science and Technology)의 Christian Knappskog, Stefan Grönke(CCC Trier), Patrick Reed
화면 잠금
영향: 자동 로그인이 설정된 최대 절전 모드의 Mac을 깨우는 데 암호가 필요하지 않을 수 있습니다.
설명: 최대 절전 모드 및 자동 로그인이 설정된 Mac을 암호를 묻는 메시지 없이 최대 절전 모드에서 깨울 수 있습니다. 이 문제는 향상된 잠금 처리를 통해 해결되었습니다.
CVE-ID
CVE-2013-5188: Levi Musters
화면 공유 서버
영향: 원격 공격자가 임의 코드를 실행할 수 있습니다.
설명: 화면 공유 서버의 VNC 사용자 이름 처리에 형식 문자열 취약성이 존재합니다.
CVE-ID
CVE-2013-5135: iDefense VCP를 통해 보고한 SilentSignal
syslog
영향: 게스트 사용자가 이전 게스트의 로그 메시지를 볼 수 있습니다.
설명: 콘솔 로그가 게스트 사용자에게 표시되고 이전 게스트 사용자 세션의 메시지를 포함합니다. 이 문제는 게스트 사용자에 대한 콘솔 로그가 관리자에게만 표시되도록 하여 해결되었습니다.
CVE-ID
CVE-2013-5191: earthlingsoft의 Sven-S. Porst
USB
영향: 악성 로컬 응용 프로그램이 예기치 않은 시스템 종료를 일으킬 수 있습니다.
설명: USB 허브 컨트롤러가 요청된 포트 및 포트 번호를 확인하지 않습니다. 이 문제는 포트 및 포트 번호 확인을 추가하여 해결되었습니다.
CVE-ID
CVE-2013-5192: Computer and Network Security Lab(LaSER), Università degli Studi di Milano의 Stefano Bianchi Mazzone, Mattia Pagnozzi 및 Aristide Fattori
참고: OS X Mavericks에는 Safari 6.1의 보안 콘텐츠가 통합된 Safari 7.0이 포함되어 있습니다. 자세한 내용은 http://http//support.apple.com/kb/HT6000?viewlocale=ko_KR에서 'Safari 6.1의 보안 콘텐츠 정보'를 참조하십시오.
Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능 및 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 자세한 내용은 해당 업체에 문의하시기 바랍니다.