OS X Mavericks v10.9.4 및 보안 업데이트 2014-003의 보안 콘텐츠에 관하여

이 문서에서는 OS X Mavericks v10.9.4 및 보안 업데이트 2014-003의 보안 콘텐츠에 대해 설명합니다.

이 업데이트는 소프트웨어 업데이트 또는 Apple 지원 웹 사이트를 통해 다운로드하고 설치할 수 있습니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용을 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 참조할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 Apple 보안 업데이트를 참조하십시오.

참고: OS X Mavericks 10.9.4 버전에는 Safari 7.0.5 버전의 보안 콘텐츠가 포함되어 있습니다.

OS X Mavericks v10.9.4 및 보안 업데이트 2014-003

  • 인증 신뢰 정책

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9~10.9.3 버전

    영향: 인증 신뢰 정책 업데이트

    설명: 인증 신뢰 정책이 업데이트되었습니다. 전체 인증서 목록은 http://support.apple.com/kb/HT6005?viewlocale=ko_KR에서 확인할 수 있습니다.

  • copyfile

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9~10.9.3 버전

    영향: 악의적으로 제작된 zip 파일을 여는 경우 응용 프로그램이 예상치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: zip 아카이브의 AppleDouble 파일 처리 시 바이트 스와핑 범위를 벗어나는 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1370: iDefense VCP와 협력하는 Chaitanya(SegFault)

  • curl

    대상: OS X Mavericks 10.9~10.9.3 버전

    영향: 원격 공격자가 다른 사용자의 세션에 대한 접근 권한을 얻을 수 있음

    설명: 인증 방법이 두 개 이상 활성화되어 있을 때 cURL에서 NTLM 연결을 재사용합니다. 이로 인해 공격자가 다른 사용자의 세션에 대한 접근 권한을 얻을 수 있습니다.

    CVE-ID

    CVE-2014-0015

  • Dock

    대상: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9~10.9.3 버전

    영향: 샌드 박스 처리된 응용 프로그램에서 샌드 박스 제한 사항을 회피할 수 있음

    설명: Dock에서 응용 프로그램으로부터 받은 메시지 처리 시 확인되지 않은 어레이 인덱스 문제가 발생합니다. 악의적으로 제작된 메시지는 잘못된 함수 포인터가 역참조되도록 할 수 있습니다. 이로 인해 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    CVE-ID

    CVE-2014-1371: HP의 Zero Day Initiative와 협력하는 익명의 연구원

  • 그래픽 드라이버

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9~10.9.3 버전

    영향: 로컬 사용자가 커널 Address Space Layout Randomization을 우회하는 데 사용될 수 있는 커널 메모리를 읽을 수 있음

    설명: 시스템 호출 처리 시 읽기 범위를 벗어나는 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1372: Google Project Zero의 Ian Beer

  • iBooks 상거래

    대상: OS X Mavericks 10.9~10.9.3 버전

    영향: 시스템에 접근할 수 있는 공격자가 Apple ID 자격 증명을 복구할 수 있음

    설명: iBooks 로그 처리 시 문제가 발생합니다. iBooks 프로세스에서 시스템의 다른 사용자가 읽을 수 있는 iBooks 로그에 Apple ID 자격 증명을 기록할 수 있습니다. 이 문제는 자격 증명의 기록을 허용하지 않아 해결되었습니다.

    CVE-ID

    CVE-2014-1317: Steve Dunham

  • Intel 그래픽 드라이버

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9~10.9.3 버전

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: OpenGL API 호출 처리 시 확인 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1373: Google Project Zero의 Ian Beer

  • Intel 그래픽 드라이버

    대상: OS X Mavericks 10.9~10.9.3 버전

    영향: 로컬 사용자가 커널 Address Space Layout Randomization을 우회하는 데 사용될 수 있는 커널 포인터를 읽을 수 있음

    설명: IOKit 대상체에 저장된 커널 포인터를 userland에서 가져올 수 있습니다. 이 문제는 대상체에서 포인터를 제거하여 해결되었습니다.

    CVE-ID

    CVE-2014-1375

  • Intel Compute

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9~10.9.3 버전

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: OpenCL API 호출 처리 시 확인 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1376: Google Project Zero의 Ian Beer

  • IOAcceleratorFamily

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9~10.9.3 버전

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: IOAcceleratorFamily에 어레이 인덱싱 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1377: Google Project Zero의 Ian Beer

  • IOGraphicsFamily

    대상: OS X Mavericks 10.9~10.9.3 버전

    영향: 로컬 사용자가 커널 Address Space Layout Randomization을 우회하는 데 사용될 수 있는 커널 포인터를 읽을 수 있음

    설명: IOKit 대상체에 저장된 커널 포인터를 userland에서 가져올 수 있습니다. 이 문제는 포인터 대신 고유한 ID를 사용하여 해결되었습니다.

    CVE-ID

    CVE-2014-1378

  • IOReporting

    대상: OS X Mavericks 10.9~10.9.3 버전

    영향: 로컬 사용자가 예기치 않은 시스템 재시동을 야기할 수 있음

    설명: IOKit API 인수 처리 시 null 포인터 역참조가 발생합니다. 이 문제는 IOKit API 인수의 추가 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1355: Adlab of Venustech의 cunzhang

  • launchd

    대상: OS X Mavericks 10.9~10.9.3 버전

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: launchd에 정수 언더플로가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1359: Google Project Zero의 Ian Beer

  • launchd

    대상: OS X Mavericks 10.9~10.9.3 버전

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: launchd에서 IPC 메시지를 처리할 때 힙 버퍼 오버플로우가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1356: Google Project Zero의 Ian Beer

  • launchd

    대상: OS X Mavericks 10.9~10.9.3 버전

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: launchd에서 로그 메시지를 처리할 때 힙 버퍼 오버플로우가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1357: Google Project Zero의 Ian Beer

  • launchd

    대상: OS X Mavericks 10.9~10.9.3 버전

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: launchd에 정수 오버플로우가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1358: Google Project Zero의 Ian Beer

  • 그래픽 드라이버

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9~10.9.3 버전

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 커널 그래픽 드라이버에 여러 null 역참조 문제가 발생합니다. 악의적으로 제작된 32비트 실행 파일이 상승된 권한을 얻을 수 있습니다.

    CVE-ID

    CVE-2014-1379: Google Project Zero의 Ian Beer

  • 보안 - 키체인

    대상: OS X Mavericks 10.9~10.9.3 버전

    영향: 공격자가 화면 잠금 상태인 윈도우에 입력할 수 있음

    설명: 드물지만 화면 잠금이 키 입력을 막지 못하는 경우도 있습니다. 따라서 공격자가 잠금 상태인 윈도우에 입력할 수 있습니다. 이 문제는 향상된 키 입력 관찰자 관리를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1380: Mojo Lingo LLC의 Ben Langfeld

  • 보안 - 보안 전송

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9~10.9.3 버전

    영향: 2바이트 메모리가 원격 공격자에게 노출될 수 있음

    설명: TLS 연결에서 DTLS 메시지 처리 시 초기화되지 않은 메모리 접근 문제가 발생합니다. 이 문제는 DTLS 연결에서 DTLS 메시지만 허용하여 해결되었습니다.

    CVE-ID

    CVE-2014-1361: The Adium Project의 Thijs Alkemade

  • Thunderbolt

    대상: OS X Mavericks 10.9~10.9.3 버전

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: IOThunderBoltController API 호출을 처리할 때 메모리 접근 범위를 벗어나는 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-1381: Catherine aka winocm

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능, 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 인터넷을 사용하는 데는 위험이 따르기 마련입니다. 자세한 내용은 공급업체에 문의하십시오. 기타 회사 및 제품 이름은 각 소유자의 상표일 수 있습니다.

게시일: