Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시가 이루어질 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용을 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.
Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.
가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.
다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.
iOS 7.1
백업
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 악의적으로 제작된 백업이 파일 시스템의 변경을 야기할 수 있음
설명: 백업에 포함된 기호 링크가 복원되어 복원 중에 수행되는 후속 작업에서 파일 시스템의 나머지 부분에 쓸 수 있게 됩니다. 이 문제는 복원 과정 과정에서 기호 링크를 확인하여 해결되었습니다.
CVE-ID
CVE-2013-5133: evad3rs
인증 신뢰 정책
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 루트 인증서가 업데이트되었음
설명: 여러 인증서가 시스템 루트의 목록에서 추가되었거나 제거되었습니다.
구성 프로파일
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 프로파일 만료일이 적용되지 않음
설명: 모바일 구성 프로파일의 만료일이 올바르게 평가되지 않습니다. 이 문제는 향상된 구성 프로파일 처리를 통해 해결되었습니다.
CVE-ID
CVE-2014-1267
CoreCapture
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 악성 응용 프로그램이 예기치 않은 시스템 종료를 야기할 수 있음
설명: CoreCapture에서 IOKit API 호출을 처리할 때 연결할 수 있는 어설션 문제가 발생합니다. 이 문제는 IOKit 입력의 추가 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-1271: Filippo Bigarella
충돌 보고
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 로컬 사용자가 임의 파일에 대한 권한을 변경할 수 있음
설명: 파일에 대한 권한을 변경하는 중에 CrashHouseKeeping이 기호 링크를 따랐습니다. 이 문제는 파일에 대한 권한을 변경할 때 기호 링크를 따르지 않음으로써 해결되었습니다.
CVE-ID
CVE-2014-1272: evad3rs
dyld
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 코드 서명 요구 사항이 우회될 수 있음
설명: 동적 라이브러리의 텍스트 재배치 지침이 코드 서명을 확인하지 않는 dyld에 의해 로드될 수 있습니다. 이 문제는 텍스트 재배치 지침을 무시하여 해결되었습니다.
CVE-ID
CVE-2014-1273: evad3rs
FaceTime
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 장비에 실제로 접근할 수 있는 사람이 잠금 화면에서 FaceTime 연락처에 접근할 수 있음
설명: 잠금 화면에서 실패한 FaceTime 통화를 시도하면 잠긴 장비의 FaceTime 연락처가 노출될 수 있습니다. 이 문제는 향상된 FaceTime 통화 처리를 통해 해결되었습니다.
CVE-ID
CVE-2014-1274
ImageIO
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 악의적으로 제작된 PDF 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: PDF 파일에서 JPEG2000 이미지를 처리할 때 버퍼 오버플로우가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-1275: Google 보안 팀의 Felix Groebert
ImageIO
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 악의적으로 제작된 TIFF 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: TIFF 이미지를 libtiff에서 처리할 때 버퍼 오버플로우가 발생합니다. 이 문제는 TIFF 이미지의 추가 확인을 통해 해결되었습니다.
CVE-ID
CVE-2012-2088
ImageIO
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 악의적으로 제작된 JPEG 파일을 보면 메모리 내용이 공개될 수 있음
설명: libjpeg에서 JPEG 표시자를 처리할 때 초기화되지 않은 메모리 접근 문제가 발생하여 메모리 내용이 공개되었습니다. 이 문제는 JPEG 파일의 추가 확인을 통해 해결되었습니다.
CVE-ID
CVE-2013-6629: Michal Zalewski
IOKit HID 이벤트
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 악성 응용 프로그램에서 다른 App의 사용자 작업을 모니터링할 수 있음
설명: 악성 App이 IOKit 프레임워크의 인터페이스를 통해 다른 App의 사용자 작업을 모니터링할 수 있습니다. 이 문제는 프레임워크의 향상된 접근 제어 정책을 통해 해결되었습니다.
CVE-ID
CVE-2014-1276: Min Zheng, Hui Xue, FireEye의 Tao (Lenx) Wei
iTunes Store
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 가로채기 공격자가 Enterprise App Download를 통해 사용자가 악성 App을 다운로드하도록 유도할 수 있음
설명: 권한 있는 네트워크 위치에 있는 공격자가 네트워크 통신을 스푸핑하여 사용자가 악성 App을 다운로드하도록 유도할 수 있습니다. 이 문제는 SSL을 사용하고 URL 리디렉션하는 중에 사용자에게 프롬프트를 표시하여 완화되었습니다.
CVE-ID
CVE-2013-3948: Stefan Esser
커널
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 로컬 사용자가 예기치 않게 시스템을 종료하거나 커널에서 임의 코드를 실행할 수 있음
설명: ARM ptmx_get_ioctl 함수에서 범위를 벗어난 메모리 접근 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-1278: evad3rs
Office Viewer
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 악의적으로 제작된 Microsoft Word 문서를 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: Microsoft Word 문서를 처리할 때 double free 문제가 발생합니다. 이 문제는 향상된 메모리 관리를 통해 해결되었습니다.
CVE-ID
CVE-2014-1252: Google 보안 팀의 Felix Groebert
Photos Backend
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 삭제된 이미지가 사진 App의 투명한 이미지 아래에 계속 나타날 수 있음
설명: 자산 라이브러리에서 이미지를 삭제하면 이미지의 캐시된 버전이 삭제되지 않습니다. 이 문제는 향상된 캐시 관리를 통해 해결되었습니다.
CVE-ID
CVE-2014-1281: Hoelblinger.com의 Walter Hoelblinger, Morgan Adams, Tom Pennington
프로파일
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 구성 프로파일이 사용자에게 표시되지 않을 수 있음
설명: 이름이 긴 구성 프로파일이 장비에 로드될 수 있지만 프로파일 UI에 표시되지 않습니다. 이 문제는 향상된 프로파일 이름 처리를 통해 해결되었습니다.
CVE-ID
CVE-2014-1282: Assaf Hefetz, Skycure의 Yair Amit 및 Adi Sharabani
Safari
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 자동 완성을 통해 사용자 자격 증명이 예기치 않은 사이트에 공개될 수 있음
설명: Safari에서 메인 프레임이 아니라 다른 도메인의 하위 프레임에 사용자 이름 및 암호를 자동 완성한 것일 수 있습니다. 이 문제는 향상된 출처 추적을 통해 해결되었습니다.
CVE-ID
CVE-2013-5227: Klarna AB의 Niklas Malmgren
설정 - 계정
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 장비에 실제로 접근할 수 있는 사람이 iCloud 암호를 입력하지 않고 나의 iPhone 찾기를 비활성화할 수도 있습니다.
설명: 나의 iPhone 찾기 상태를 처리할 때 상태 관리 문제가 발생합니다. 이 문제는 향상된 나의 iPhone 찾기 상태 처리를 통해 해결되었습니다.
CVE-ID
CVE-2014-2019
스프링보드
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 장비에 실제로 접근할 수 있는 사람이 장비가 활성화되지 않아도 장비의 홈 화면을 볼 수 있음
설명: 활성화 중에 응용 프로그램이 예기치 않게 종료되어 전화기에 홈 화면이 표시될 수 있습니다. 이 문제는 활성화 중 향상된 오류 처리를 통해 해결되었습니다.
CVE-ID
CVE-2014-1285: Roboboi99
SpringBoard 잠금 화면
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 원격 공격자가 잠금 화면이 반응하지 않게 할 수 있음
설명: 잠금 화면에서 상태 관리 문제가 발생합니다. 이 문제는 향상된 상태 관리를 통해 해결되었습니다.
CVE-ID
CVE-2014-1286: M-sec.net의 Bogdan Alecu
TelephonyUI 프레임워크
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 웹 페이지에서 사용자 상호 작용 없이 FaceTime 음성 통화를 실행할 수 있음
설명: Safari에서 facetime-audio:// URL을 실행하기 전에 사용자에게 확인하지 않습니다. 이 문제는 확인 프롬프트를 추가하여 해결되었습니다.
CVE-ID
CVE-2013-6835: Guillaume Ross
USB 호스트
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 장비에 실제로 접근할 수 있는 사람이 커널 모드에서 임의 코드가 실행되도록 할 수 있음
설명: USB 메시지를 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 USB 메시지의 추가 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-1287: NCC Group의 Andy Davis
비디오 드라이버
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 악의적으로 제작된 비디오를 재생하면 장비가 반응하지 않을 수 있음
설명: MPEG-4로 인코딩된 파일을 처리할 때 Null 역참조 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2014-1280: rg0rd
WebKit
대상: iPhone 4 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품
영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: WebKit에서 여러 가지 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2013-2909: OUSPG의 Atte Kettunen
CVE-2013-2926: cloudfuzzer
CVE-2013-2928: Google Chrome 보안 팀
CVE-2013-5196: Google Chrome 보안 팀
CVE-2013-5197: Google Chrome 보안 팀
CVE-2013-5198: Apple
CVE-2013-5199: Apple
CVE-2013-5225: Google Chrome 보안 팀
CVE-2013-5228: HP의 Zero Day Initiative에 참여 중인 Keen Team(@K33nTeam)
CVE-2013-6625: cloudfuzzer
CVE-2013-6635: cloudfuzzer
CVE-2014-1269: Apple
CVE-2014-1270: Apple
CVE-2014-1289: Apple
CVE-2014-1290: HP의 Zero Day Initiative에 참여 중인 ant4g0nist(SegFault), Google Chrome 보안 팀, Institute for Infocomm Research의 Infocomm 보안 부서에 소속된 S.P.T. Krishnan과 협력하는 Lee Wang Hao
CVE-2014-1291: Google Chrome 보안 팀
CVE-2014-1292: Google Chrome 보안 팀
CVE-2014-1293: Google Chrome 보안 팀
CVE-2014-1294: Google Chrome 보안 팀
일부 국가 또는 지역에서는 FaceTime을 사용할 수 없습니다.