OS X Mavericks v10.9.2 및 보안 업데이트 2014-001의 보안 콘텐츠에 관하여

이 문서에서는 OS X Mavericks v10.9.2 및 보안 업데이트 2014-001의 보안 콘텐츠에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용을 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 참조할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용을 알아보려면 'Apple 보안 업데이트'를 참조하십시오.

이 업데이트는 소프트웨어 업데이트 또는 Apple 지원 웹 사이트로 다운로드하여 설치할 수 있습니다.

OS X Mavericks 10.9.2 버전 및 보안 업데이트 2014-001

  • Apache

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 및 10.9.1 버전

    영향: Apache에서 여러 가지 취약성 발생

    설명: Apache에 여러 가지 취약성이 발생합니다. Apache의 여러 가지 취약성 중 가장 심각한 취약성으로 인해 교차 사이트 스크립팅이 초래될 수 있습니다. 이러한 문제는 Apache를 2.2.26 버전으로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2013-1862

    CVE-2013-1896

  • App 샌드 박스

    대상: OS X Mountain Lion v10.8.5

    영향: App 샌드 박스가 우회될 수 있음

    설명: 응용 프로그램을 실행하는 LaunchServices 인터페이스에서 샌드 박스 처리된 App이 새 프로세스로 전달되는 인수 목록을 지정하도록 허용했습니다. 손상된 샌드 박스 처리된 응용 프로그램은 이를 남용하여 샌드 박스를 우회할 수 있습니다. 이 문제는 샌드 박스 처리된 응용 프로그램이 인수를 지정하는 것을 차단하여 해결되었습니다. 이 문제는 OS X Mavericks 10.9 이후 버전을 실행하는 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2013-5179: Soulmen GbR의 Friedrich Graeter

  • ATS

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 및 10.9.1 버전

    영향: 악의적으로 제작된 내장 서체가 포함된 문서를 보거나 다운로드하는 경우 임의 코드가 실행될 수 있음

    설명: Type 1 서체를 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1254: Google 보안 팀의 Felix Groebert

  • ATS

    대상: OS X Mavericks 10.9 및 10.9.1 버전

    영향: App 샌드 박스가 우회될 수 있음

    설명: ATS에 전달된 Mach 메시지를 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1262: Google 보안 팀의 Meder Kydyraliev

  • ATS

    대상: OS X Mavericks 10.9 및 10.9.1 버전

    영향: App 샌드 박스가 우회될 수 있음

    설명: ATS에 전달된 Mach 메시지를 처리할 때 arbitrary free 문제가 발생합니다. 이 문제는 Mach 메시지의 추가 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1255: Google 보안 팀의 Meder Kydyraliev

  • ATS

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 및 10.9.1 버전

    영향: App 샌드 박스가 우회될 수 있음

    설명: ATS에 전달된 Mach 메시지를 처리할 때 버퍼 오버플로우 문제가 발생합니다. 이 문제는 추가 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1256: Google 보안 팀의 Meder Kydyraliev

  • 인증 신뢰 정책

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 및 10.9.1 버전

    영향: 루트 인증서가 업데이트되었음

    설명: 시스템 루트 인증서 세트가 업데이트되었습니다. 키체인 접근 응용 프로그램을 통해 인식된 시스템 루트의 전체 목록을 볼 수 있습니다.

  • CFNetwork 쿠키

    대상: OS X Mountain Lion v10.8.5

    영향: Safari를 재설정한 후에도 세션 쿠키가 유지될 수 있음

    설명: Safari를 재설정한 경우 Safari가 닫힐 때까지 세션 쿠키가 삭제되지 않을 수 있습니다. 이 문제는 향상된 세션 쿠키 처리를 통해 해결되었습니다. 이 문제는 OS X Mavericks 10.9 이후 버전을 실행하는 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2014-1257: Amherst College의 Rob Ansaldo, Graham Bennett

  • CoreAnimation

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 및 10.9.1 버전

    영향: 악의적으로 제작된 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: CoreAnimation에서 이미지를 처리할 때 힙 버퍼 오버플로우 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1258: NCC Group의 Karl Smith

  • CoreText

    대상: OS X Mavericks 10.9 및 10.9.1 버전

    영향: CoreText를 사용하는 응용 프로그램은 예기치 않은 응용 프로그램 종료나 임의 코드 실행에 취약할 수 있음

    설명: 유니코드 서체를 처리할 때 CoreText에서 부호의 유무 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결됩니다.

    CVE-ID

    CVE-2014-1261: IOActive Labs의 Lucas Apa와 Carlos Mario Penagos

  • curl

    대상: OS X Mavericks 10.9 및 10.9.1 버전

    영향: 권한 있는 네트워크 위치에 있는 공격자가 사용자 자격 증명 또는 기타 중요 정보를 가로챌 수 있음

    설명: curl을 사용하여 IP 주소가 포함된 HTTPS URL에 연결할 때 IP 주소가 인증서에 대해 확인되지 않았습니다. 이 문제는 OS X Mavericks v10.9 이전 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2014-1263: Moriz GmbH의 Roland Moriz

  • 데이터 보안

    대상: OS X Mavericks 10.9 및 10.9.1 버전

    영향: 권한 있는 네트워크 위치에 있는 공격자가 SSL/TLS에 의해 보호받는 세션에서 데이터를 캡처하거나 수정할 수 있음

    설명: 보안 전송에서 연결의 인증을 확인하지 못했습니다. 이 문제는 유실된 확인 단계를 복원하여 해결되었습니다.

    CVE-ID

    CVE-2014-1266

  • 날짜 및 시간

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 및 10.9.1 버전

    영향: 권한 없는 사용자가 시스템 클록을 변경할 수 있음

    설명: 이 업데이트는 명령의 동작을 변경하여

    systemsetup
    시스템 클럭을 변경하는 데 관리자 권한이 필요하도록 합니다.

    CVE-ID

    CVE-2014-1265

  • 파일 책갈피

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 및 10.9.1 버전

    영향: 악의적으로 이름이 지정된 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 파일 이름을 처리할 때 버퍼 오버플로우 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1259

  • Finder

    대상: OS X Mavericks 10.9 및 10.9.1 버전

    영향: Finder를 통해 파일의 ACL에 접근할 경우 다른 사용자가 파일에 무단으로 접근할 수 있음

    설명: Finder를 통해 파일의 ACL에 접근할 경우 파일의 ACL이 손상될 수 있습니다. 이 문제는 향상된 ACL 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1264

  • ImageIO

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 및 10.9.1 버전

    영향: 악의적으로 제작된 JPEG 파일을 보면 메모리 내용이 공개될 수 있음

    설명: libjpeg에서 JPEG 표시자를 처리할 때 초기화되지 않은 메모리 접근 문제가 발생하여 메모리 내용이 공개되었습니다. 이 문제는 개선된 JPEG 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-6629: Michal Zalewski

  • IOSerialFamily

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

    영향: 악성 응용 프로그램을 실행할 경우 커널 내에서 임의 코드가 실행될 수 있음

    설명: IOSerialFamily 드라이버에 범위를 벗어난 어레이 접근 문제가 발생합니다. 이 문제는 추가 범위 검사를 통해 해결되었습니다. 이 문제는 OS X Mavericks v10.9 이후를 실행하는 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • LaunchServices

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

    영향: 파일이 잘못된 확장자를 표시할 수 있음

    설명: 특정 유니코드 문자 처리 시 잘못된 확장자가 파일 이름에 표시될 수 있는 문제가 있습니다. 이 문제는 파일 이름 표시에서 안전하지 않은 유니코드 문자를 필터링하여 해결되었습니다. 이 문제는 OS X Mavericks v10.9 이후를 실행하는 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2013-5178: Mozilla Corporation의 Jesse Ruderman, Intego의 Stephane Sudre

  • NVIDIA 드라이버

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 및 10.9.1 버전

    영향: 악성 응용 프로그램을 실행할 경우 그래픽 카드 내에서 임의 코드가 실행될 수 있음

    설명: 그래픽 카드의 일부 신뢰할 수 있는 메모리에 작성을 허용하는 문제가 있습니다. 이 문제는 이 메모리에 작성할 수 있는 호스트의 권한을 제거하여 해결되었습니다.

    CVE-ID

    CVE-2013-5986: X.Org Foundation Nouveau 프로젝트의 Marcin Kościelnicki

    CVE-2013-5987: X.Org Foundation Nouveau 프로젝트의 Marcin Kościelnicki

  • PHP

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 및 10.9.1 버전

    영향: PHP에서 여러 가지 취약성 발생

    설명: PHP의 여러 가지 취약성 중 가장 심각한 취약성으로 인해 임의 코드가 실행될 수 있습니다. 이 문제는 OS X Mavericks v10.9에서 PHP를 5.4.24 버전으로, OS X Lion 및 Mountain Lion에서 PHP를 5.3.28 버전으로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2013-4073

    CVE-2013-4113

    CVE-2013-4248

    CVE-2013-6420

  • QuickLook

    대상: OS X Mountain Lion v10.8.5

    영향: 악의적으로 제작된 Microsoft Office 파일을 다운로드하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QuickLook에서 Microsoft Office 파일을 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 Microsoft Office 파일을 다운로드하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 OS X Mavericks 10.9 이후 버전을 실행하는 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2014-1260: Google 보안 팀의 Felix Groebert

  • QuickLook

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 및 10.9.1 버전

    영향: 악의적으로 제작된 Microsoft Word 문서를 다운로드하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QuickLook에서 Microsoft Word 문서를 처리할 때 double free 문제가 발생합니다. 이 문제는 향상된 메모리 관리를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1252: Google 보안 팀의 Felix Groebert

  • QuickTime

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 및 10.9.1 버전

    영향: 악의적으로 제작된 동영상 파일을 재생하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 'ftab' atom을 처리할 때 버퍼 오버플로우 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1246: HP Zero Day Initiative와 협력하는 익명의 연구원

  • QuickTime

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 및 10.9.1 버전

    영향: 악의적으로 제작된 동영상 파일을 재생하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 'dref' atom을 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1247: HP Zero Day Initiative와 협력하는 Tom Gallagher 및 Paul Bates

  • QuickTime

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 및 10.9.1 버전

    영향: 악의적으로 제작된 동영상 파일을 재생하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 'ldat' atom을 처리할 때 버퍼 오버플로우 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1248: iDefense VCP와 협력하는 Jason Kratzer

  • QuickTime

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 및 10.9.1 버전

    영향: 악의적으로 제작된 PSD 이미지를 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: PSD 이미지를 처리할 때 버퍼 오버플로우 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1249: Tencent Security Team의 dragonltx

  • QuickTime

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 및 10.9.1 버전

    영향: 악의적으로 제작된 동영상 파일을 재생하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 'ttfo' 요소를 처리할 때 범위를 벗어난 바이트 스와핑 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1250: iDefense VCP와 협력하는 Jason Kratzer

  • QuickTime

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 및 10.9.1 버전

    영향: 악의적으로 제작된 동영상 파일을 재생하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 'stsz' atom을 처리할 때 부호의 유무 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1245: HP Zero Day Initiative와 협력하는 Tom Gallagher 및 Paul Bates

  • 보안 전송

    대상: OS X Mountain Lion v10.8.5

    영향: 공격자가 SSL로 보호되는 데이터의 암호를 해제할 수 있음

    설명: 일련의 암호가 CBC 모드에서 블록 암호를 사용할 때 SSL 3.0 및 TLS 1.0의 기밀성을 침해하는 알려진 공격이 있습니다. 보안 전송을 사용하는 응용 프로그램에서 이러한 문제를 해결하기 위해 1바이트 조각 완화가 이 구성에 대해 기본적으로 활성화되었습니다.

    CVE-ID

    CVE-2011-3389: Juliano Rizzo 및 Thai Duong

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능, 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 인터넷을 사용하는 데는 위험이 따르기 마련입니다. 자세한 내용은 공급업체에 문의하십시오. 기타 회사 및 제품 이름은 각 소유자의 상표일 수 있습니다.

게시일: