이 업데이트는 소프트웨어 업데이트 또는 Apple 지원 웹 사이트를 통해 다운로드하여 설치할 수 있습니다.
Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 관한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.
Apple 제품 보안 PGP 키에 관한 정보는 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.
가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.
기타 보안 업데이트에 관한 내용은 Apple 보안 업데이트를 참조하십시오.
참고: OS X Mavericks 10.9.4 버전에는 Safari 7.0.5의 보안 콘텐츠가 포함되어 있습니다.
OS X Mavericks v10.9.4 및 보안 업데이트 2014-003
인증 신뢰 정책
대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9~10.9.3 버전
영향: 인증서 신뢰 정책 업데이트
설명: 인증 신뢰 정책이 업데이트되었습니다. 전체 인증서 목록은 https://support.apple.com/ko-kr/HT6005에서 확인할 수 있습니다.
copyfile
대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9~10.9.3 버전
영향: 악의적으로 제작된 zip 파일을 여는 경우 응용 프로그램이 예상치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: zip 아카이브의 AppleDouble 파일 처리 시 바이트 스와핑 범위를 벗어나는 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-1370: iDefense VCP와 협력하는 Chaitanya(SegFault)
curl
대상: OS X Mavericks 10.9~10.9.3 버전
영향: 원격 공격자가 다른 사용자의 세션에 대한 접근 권한을 얻을 수 있음
설명: 인증 방법이 두 개 이상 활성화되어 있을 때 cURL에서 NTLM 연결을 재사용합니다. 이로 인해 공격자가 다른 사용자의 세션에 대한 접근 권한을 얻을 수 있습니다.
CVE-ID
CVE-2014-0015
Dock
대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9~10.9.3 버전
영향: 샌드 박스 처리된 응용 프로그램에서 샌드 박스 제한 사항을 회피할 수 있음
설명: Dock에서 응용 프로그램으로부터 받은 메시지 처리 시 확인되지 않은 어레이 인덱스 문제가 발생합니다. 악의적으로 제작된 메시지는 잘못된 함수 포인터가 역참조되도록 할 수 있습니다. 이로 인해 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.
CVE-ID
CVE-2014-1371: HP의 Zero Day Initiative와 협력하는 익명의 연구원
그래픽 드라이버
대상: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9~10.9.3 버전
영향: 로컬 사용자가 커널 Address Space Layout Randomization을 우회하는 데 사용될 수 있는 커널 메모리를 읽을 수 있음
설명: 시스템 호출 처리 시 읽기 범위를 벗어나는 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-1372: Google Project Zero의 Ian Beer
iBooks 상거래
대상: OS X Mavericks 10.9~10.9.3 버전
영향: 시스템에 액세스할 수 있는 공격자가 Apple ID 자격 증명을 복구할 수 있음
설명: iBooks 로그 처리 시 문제가 발생합니다. iBooks 프로세스에서 시스템의 다른 사용자가 읽을 수 있는 iBooks 로그에 Apple ID 자격 증명을 기록할 수 있습니다. 이 문제는 자격 증명의 기록을 허용하지 않아 해결되었습니다.
CVE-ID
CVE-2014-1317: Steve Dunham
Intel 그래픽 드라이버
대상: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9~10.9.3 버전
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: OpenGL API 호출 처리 시 확인 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-1373: Google Project Zero의 Ian Beer
Intel 그래픽 드라이버
대상: OS X Mavericks 10.9~10.9.3 버전
영향: 로컬 사용자가 커널 Address Space Layout Randomization을 우회하는 데 사용될 수 있는 커널 포인터를 읽을 수 있음
설명: IOKit 대상체에 저장된 커널 포인터를 userland에서 가져올 수 있습니다. 이 문제는 대상체에서 포인터를 제거하여 해결되었습니다.
CVE-ID
CVE-2014-1375
Intel Compute
대상: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9~10.9.3 버전
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: OpenCL API 호출 처리 시 확인 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-1376: Google Project Zero의 Ian Beer
IOAcceleratorFamily
대상: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9~10.9.3 버전
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOAcceleratorFamily에 어레이 인덱싱 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-1377: Google Project Zero의 Ian Beer
IOGraphicsFamily
대상: OS X Mavericks 10.9~10.9.3 버전
영향: 로컬 사용자가 커널 Address Space Layout Randomization을 우회하는 데 사용될 수 있는 커널 포인터를 읽을 수 있음
설명: IOKit 대상체에 저장된 커널 포인터를 userland에서 가져올 수 있습니다. 이 문제는 포인터 대신 고유한 ID를 사용하여 해결되었습니다.
CVE-ID
CVE-2014-1378
IOReporting
대상: OS X Mavericks 10.9~10.9.3 버전
영향: 로컬 사용자가 예기치 않은 시스템 재시동을 야기할 수 있음
설명: IOKit API 인수 처리 시 null 포인터 역참조가 발생합니다. 이 문제는 IOKit API 인수의 추가 확인을 통해 해결되었습니다.
CVE-ID
CVE-2014-1355: Adlab of Venustech의 cunzhang
launchd
대상: OS X Mavericks 10.9~10.9.3 버전
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: launchd에 정수 언더플로가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-1359: Google Project Zero의 Ian Beer
launchd
대상: OS X Mavericks 10.9~10.9.3 버전
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: launchd에서 IPC 메시지를 처리할 때 힙 버퍼 오버플로우가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-1356: Google Project Zero의 Ian Beer
launchd
대상: OS X Mavericks 10.9~10.9.3 버전
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: launchd에서 로그 메시지를 처리할 때 힙 버퍼 오버플로우가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-1357: Google Project Zero의 Ian Beer
launchd
대상: OS X Mavericks 10.9~10.9.3 버전
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: launchd에 정수 오버플로우가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-1358: Google Project Zero의 Ian Beer
그래픽 드라이버
대상: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9~10.9.3 버전
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: 커널 그래픽 드라이버에 여러 null 역참조 문제가 발생합니다. 악의적으로 제작된 32비트 실행 파일이 상승된 권한을 얻을 수 있습니다.
CVE-ID
CVE-2014-1379: Google Project Zero의 Ian Beer
보안 - 키체인
대상: OS X Mavericks 10.9~10.9.3 버전
영향: 공격자가 화면 잠금 상태인 윈도우에 입력할 수 있음
설명: 드물지만 화면 잠금이 키 입력을 막지 못하는 경우도 있습니다. 따라서 공격자가 잠금 상태인 윈도우에 입력할 수 있습니다. 이 문제는 향상된 키 입력 관찰자 관리를 통해 해결되었습니다.
CVE-ID
CVE-2014-1380: Mojo Lingo LLC의 Ben Langfeld
보안 - 보안 전송
대상: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9~10.9.3 버전
영향: 2바이트 메모리가 원격 공격자에게 노출될 수 있습니다.
설명: TLS 연결에서 DTLS 메시지 처리 시 초기화되지 않은 메모리 접근 문제가 발생합니다. 이 문제는 DTLS 연결에서 DTLS 메시지만 허용하여 해결되었습니다.
CVE-ID
CVE-2014-1361: The Adium Project의 Thijs Alkemade
Thunderbolt
대상: OS X Mavericks 10.9~10.9.3 버전
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOThunderBoltController API 호출을 처리할 때 메모리 접근 범위를 벗어나는 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2014-1381 : Sarah(winocm)
2020년 2월 3일에 업데이트된 항목