OS X Yosemite v10.10.2 및 보안 업데이트 2015-001의 보안 콘텐츠에 관하여

이 문서에서는 OS X Yosemite v10.10.2 및 보안 업데이트 2015-001의 보안 콘텐츠에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시가 이루어질 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용을 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 Apple 보안 업데이트를 참조하십시오.

OS X Yosemite v10.10.2 및 보안 업데이트 2015-001

  • AFP 서버

    대상: OS X Mavericks v10.9.5

    영향: 원격 공격자가 시스템의 모든 네트워크 주소를 확인할 수 있음

    설명: AFP 파일 서버는 시스템의 모든 네트워크 주소가 반환되는 명령어를 지원합니다. 이 문제는 결과에서 주소를 제거하여 해결되었습니다.

    CVE-ID

    CVE-2014-4426: Tripwire VERT의 Craig Young

  • bash

    대상: OS X Yosemite v10.10 및 v10.10.1

    영향: 로컬 공격자가 임의 코드를 실행할 수 있는 취약점을 비롯하여 bash에서 여러 가지 취약점이 발생함

    설명: bash에서 여러 가지 취약점이 발생합니다. 이러한 문제는 bash를 패치 수준 57로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 커널 메모리의 조작을 허용하는 정수 부호화 오류가 IOBluetoothFamily에서 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다. 이 문제는 OS X Yosemite 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2014-4497

  • Bluetooth

    대상: OS X Yosemite v10.10 및 v10.10.1

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 악성 응용 프로그램이 커널 메모리에 대한 쓰기 크기를 제어하도록 허용하는 오류가 Bluetooth 드라이버에서 발생합니다. 이 문제는 추가 입력 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2014-8836: Google Project Zero의 Ian Beer

  • Bluetooth

    대상: OS X Yosemite v10.10 및 v10.10.1

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행하도록 허용하는 여러 가지 보안 문제가 Bluetooth 드라이버에서 발생합니다. 이러한 문제는 추가 입력 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2014-8837: Emaze Networks의 Roberto Paleari 및 Aristide Fattori

  • CFNetwork 캐시

    대상: OS X Yosemite v10.10 및 v10.10.1

    영향: 개인정보 보호 브라우징을 종료한 후에 웹 사이트 캐시가 완전히 지워지지 않을 수 있음

    설명: 개인정보 보호 브라우징을 종료한 후에 브라우징 데이터가 캐시에 남아 있을 수 있는 개인정보 보호 문제가 발생했습니다. 이 문제는 캐싱 동작을 변경하여 해결되었습니다.

    CVE-ID

    CVE-2014-4460

  • CoreGraphics

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 악의적으로 제작된 PDF 파일을 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: PDF 파일을 처리할 때 정수 오버플로우가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-4481: iSIGHT Partners GVP Program과 협력하는 Binamuse VRT의 Felipe Andres Manzano

  • CPU 소프트웨어

    대상: OS X Yosemite v10.10 및 v10.10.1, MacBook Pro Retina, MacBook Air (Mid 2013) 이후 제품, iMac (Late 2013) 이후 제품, Mac Pro (Late 2013)

    영향: 악성 Thunderbolt 장비가 펌웨어 깜박임에 영향을 줄 수 있음

    설명: Thunderbolt 장비가 EFI 업데이트 중에 연결된 경우 호스트 펌웨어를 수정할 수 있습니다. 이 문제는 업데이트 중에 옵션 ROM을 로드하지 않음으로써 해결되었습니다.

    CVE-ID

    CVE-2014-4498: Two Sigma Investments의 Trammell Hudson

  • CommerceKit 프레임워크

    대상: OS X Yosemite v10.10 및 v10.10.1

    영향: 시스템에 액세스할 수 있는 공격자가 Apple ID 자격 증명을 복구할 수 있음

    설명: App Store 로그 처리 시 문제가 발생합니다. App Store 프로세스는 추가 기록이 활성화되었을 때 로그에 Apple ID 자격 증명을 기록할 수 있습니다. 이 문제는 자격 증명의 기록을 허용하지 않아 해결되었습니다.

    CVE-ID

    CVE-2014-4499: Sten Petersen

  • CoreGraphics

    대상: OS X Yosemite v10.10 및 v10.10.1

    영향: 비보안 텍스트 항목 및 마우스 이벤트가 포함된 일부 타사 응용 프로그램은 이러한 이벤트를 기록할 수 있음

    설명: 초기화되지 않는 변수와 응용 프로그램의 사용자 설정 할당기의 결합으로 인해 비보안 텍스트 항목 및 마우스 이벤트가 기록되었을 수 있습니다. 이 문제는 기본적으로 기록이 해제되었음을 확인하여 해결되었습니다. 이 문제는 OS X Yosemite 이전 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2014-1595: Kent Howard와 협력하는 Mozilla의 Steven Michaud

  • CoreGraphics

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    영향: 악의적으로 제작된 PDF 파일을 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: PDF 파일을 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 경계 확인을 통해 해결되었습니다. 이 문제는 OS X Yosemite 시스템에 영향을 주지 않습니다.

    CVE-ID

    CVE-2014-8816: Digital Operatives LLC의 Mike Myers

  • CoreSymbolication

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: coresymbolication에서 XPC 메시지를 처리할 때 여러 가지 유형 혼돈 문제가 발생합니다. 이러한 문제는 향상된 유형 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-8817: Google Project Zero의 Ian Beer

  • FontParser

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 악의적으로 제작된 .dfont 파일을 처리할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: .dfont 파일을 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-4484: HP의 Zero Day Initiative와 협력하는 Gaurav Baruah

  • FontParser

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 악의적으로 제작된 PDF 파일을 열면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 서체 파일을 처리할 때 버퍼 오버플로우가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-4483: Apple

  • Foundation

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 악의적으로 제작된 XML 파일을 보는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: XML 파서에서 버퍼 오버플로우가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-4485: Apple

  • Intel 그래픽 드라이버

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: Intel 그래픽 드라이버에서 여러 가지 취약점이 발생함

    설명: Intel 그래픽 드라이버에서 여러 가지 취약점이 발생하며 가장 심각한 취약점은 시스템 권한을 통한 임의 코드의 실행을 야기할 수 있습니다. 이 업데이트는 추가 경계 검사를 통해 문제를 해결합니다.

    CVE-ID

    CVE-2014-8819: Google Project Zero의 Ian Beer

    CVE-2014-8820: Google Project Zero의 Ian Beer

    CVE-2014-8821: Google Project Zero의 Ian Beer

  • IOAcceleratorFamily

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: IOAcceleratorFamily에서 특정 IOService userclient 유형을 처리할 때 null 포인터 역참조가 발생합니다. 이 문제는 IOAcceleratorFamily 컨텍스트에 대한 향상된 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2014-4486: Google Project Zero의 Ian Beer

  • IOHIDFamily

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: IOHIDFamily에서 버퍼 오버플로우가 발생합니다. 이 문제는 향상된 경계 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak 팀

  • IOHIDFamily

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: IOHIDFamily에서 리소스 대기열 메타데이터를 처리할 때 확인 문제가 발생합니다. 이 문제는 메타데이터에 대한 향상된 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2014-4488: Apple

  • IOHIDFamily

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: IOHIDFamily에서 이벤트 대기열을 처리할 때 null 포인터 역참조가 발생합니다. 이 문제는 IOHIDFamily 이벤트 대기열 초기화의 향상된 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2014-4489: @beist

  • IOHIDFamily

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 악성 응용 프로그램을 실행할 경우 커널 내에서 임의 코드가 실행될 수 있음

    설명: IOHIDFamily 드라이버에서 공급한 사용자 클라이언트에서 악성 응용 프로그램이 커널 주소 공간의 임의 부분을 덮어쓰도록 허용하는 경계 확인 문제가 발생합니다. 이 문제는 취약한 사용자 클라이언트 방법을 제거하여 해결되었습니다.

    CVE-ID

    CVE-2014-8822: HP의 Zero Day Initiative와 협력하는 Vitaliy Toropov

  • IOKit

    대상: OS X Yosemite v10.10 및 v10.10.1

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: IOKit 함수를 처리할 때 정수 오버플로우가 발생합니다. 이 문제는 향상된 IOKit API 인수 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2014-4389: Google Project Zero의 Ian Beer

  • IOUSBFamily

    대상: OS X Yosemite v10.10 및 v10.10.1

    영향: 권한 있는 응용 프로그램이 커널 메모리에서 임의 데이터를 읽을 수 있음

    설명: IOUSB 컨트롤러의 사용자 클라이언트 기능 처리 시 메모리 접근 문제가 발생합니다. 이 문제는 향상된 인수 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2014-8823: Google Project Zero의 Ian Beer

  • Kerberos

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: Kerberos libgssapi 라이브러리가 댕글링 포인터가 있는 컨텍스트 토큰을 반환합니다. 이 문제는 향상된 상태 관리를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-5352

  • 커널

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 사용자 설정 캐시 모드를 지정하면 커널 읽기 전용 공유 메모리 세그먼트에 쓰기가 허용됩니다. 이 문제는 일부 사용자 설정 캐시 모드의 부작용으로 쓰기 권한을 부여하지 않음으로써 해결되었습니다.

    CVE-ID

    CVE-2014-4495: Google Project Zero의 Ian Beer

  • 커널

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: IODataQueue 대상체의 특정 메타데이터 필드 처리 시 확인 문제가 발생합니다. 이 문제는 메타데이터에 대한 향상된 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2014-8824: @PanguTeam

  • 커널

    대상: OS X Yosemite v10.10 및 v10.10.1

    영향: 로컬 공격자가 디렉토리 서비스 응답을 커널로 스푸핑하거나 권한을 상승하거나 커널을 실행할 수 있음

    설명: 프로세스, 플래그 처리 및 오류 처리를 해결하는 디렉토리 서비스의 확인을 식별할 때 문제가 발생합니다. 이 문제는 향상된 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2014-8825: CrowdStrike의 Alex Radocea

  • 커널

    대상: OS X Yosemite v10.10 및 v10.10.1

    영향: 로컬 사용자에게 커널 메모리 레이아웃이 노출될 수 있음

    설명: 네트워크 통계 인터페이스에 초기화되지 않은 여러 가지 메모리 문제가 있습니다. 이 문제로 인해 커널 메모리 콘텐츠가 공개됩니다. 이 문제는 추가 메모리 초기화를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-4371: Google 보안 팀의 Fermin J. Serna

    CVE-2014-4419: Google 보안 팀의 Fermin J. Serna

    CVE-2014-4420: Google 보안 팀의 Fermin J. Serna

    CVE-2014-4421: Google 보안 팀의 Fermin J. Serna

  • 커널

    대상: OS X Mavericks v10.9.5

    영향: 권한 있는 네트워크 위치에 있는 개인이 서비스 거부를 일으킬 수 있음

    설명: IPv6 패킷 처리 시 경합 상태 문제가 발생합니다. 이 문제는 향상된 잠금 상태 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2011-2391

  • 커널

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 악의적으로 제작되거나 손상된 응용 프로그램에서 커널의 주소를 확인할 수도 있음

    설명: 커널 확장과 관련된 API를 처리할 때 정보 공개 문제가 발생합니다. OSBundleMachOHeaders 키가 포함된 응답에 ASLR(Address Space Layout Randomization) 보호를 우회하는 데 도움을 줄 수 있는 커널 주소가 포함되어 있을 수 있습니다. 이 문제는 주소가 반환되기 전에 주소를 언슬라이딩하여 해결되었습니다.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • 커널

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: IOSharedDataQueue 대상체의 특정 메타데이터 필드 처리 시 확인 문제가 발생했습니다. 이 문제는 메타데이터 재배치를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-4461: @PanguTeam

  • LaunchServices

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 악성 JAR 파일이 Gatekeeper 확인을 우회할 수 있음

    설명: 응용 프로그램 실행을 처리할 때 특정 악성 JAR 파일이 Gatekeeper 확인을 우회하도록 허용하는 문제가 발생합니다. 이 문제는 파일 유형 메타데이터의 향상된 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-8826: Amplia Security의 Hernan Ochoa

  • libnetcore

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 샌드박스가 적용된 악성 App은 네트워크가 연결된 데몬에 손상을 줄 수 있음

    설명: 네트워크가 연결된 상호 프로세스 커뮤니케이션을 처리할 때 여러 가지 유형 혼돈 문제가 발생합니다. 네트워크가 연결된, 악의적으로 포맷된 메시지를 보내 네트워크가 연결된 프로세스로 임의 코드를 실행할 수 있습니다. 이 문제는 추가 유형 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-4492: Google Project Zero의 Ian Beer

  • LoginWindow

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: Mac이 깨우기 모드를 즉시 잠글 수 없음

    설명: 잠금 화면을 렌더링할 때 문제가 발생합니다. 이 문제는 잠금 상태에서 향상된 화면 렌더링을 통해 해결되었습니다.

    CVE-ID

    CVE-2014-8827: Mono의 Xavier Bertels 및 여러 명의 OS X 시드 테스터

  • lukemftp

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 악성 http 서버에서 파일을 받기 위해 명령줄 ftp 도구를 사용하면 임의 코드가 실행될 수 있음

    설명: HTTP 리디렉션을 처리할 때 명령 삽입 문제가 발생합니다. 이 문제는 특수 문자에 대한 향상된 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2014-8517

  • ntpd

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 암호화 인증이 활성화된 ntp 데몬을 사용하면 정보가 유출될 수 있음

    설명: ntpd에서 여러 가지 입력 확인 문제가 발생합니다. 이러한 문제는 향상된 데이터 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2014-9297

  • OpenSSL

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 공격자가 연결을 다운그레이드하여 라이브러리 사용 시 응용 프로그램에서 보다 취약한 암호화 취약군을 사용하도록 허용할 수 있는 취약점을 비롯하여 여러 가지 취약점이 OpenSSL 0.9.8za에서 발생함

    설명: OpenSSL 0.9.8za에서 여러 취약점이 발생합니다. 이러한 문제는 OpenSSL을 버전 0.9.8zc로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • 샌드 박스

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    영향: 샌드박스가 적용된 프로세스에서 샌드박스 제한 사항을 우회할 수 있음

    설명: 샌드박스 프로필을 캐싱할 때 샌드박스가 적용된 응용 프로그램이 캐시에 대한 쓰기 접근 권한을 얻을 수 있는 설계 문제가 발생합니다. 이 문제는 'com.apple.sandbox' 세그먼트를 포함하는 경로에 대한 쓰기 접근 권한을 제한하여 해결되었습니다. 이 문제는 OS X Yosemite 10.10 이후 버전에 영향을 주지 않습니다.

    CVE-ID

    CVE-2014-8828: Apple

  • SceneKit

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    영향: 악성 응용 프로그램이 사용자 정보에 손상을 줄 수 있는 임의 코드를 실행할 수 있음

    설명: SceneKit에 경계를 벗어나는 여러 가지 쓰기 문제가 발생합니다. 이러한 문제는 향상된 경계 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-8829: Google 보안 팀의 Jose Duart

  • SceneKit

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 악의적으로 제작된 Collada 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: SceneKit에서 Collada 파일을 처리할 때 힙 버퍼 오버플로우가 발생합니다. 악의적으로 제작된 Collada 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 접근자 요소에 대한 향상된 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2014-8830: Google 보안 팀의 Jose Duart

  • 보안

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 해지된 개발자 ID 인증서로 서명된 다운로드한 응용 프로그램이 Gatekeeper 확인을 패스할 수 있음

    설명: 캐시된 응용 프로그램 인증서 정보가 평가된 방법과 관련된 문제가 발생합니다. 이 문제는 캐시 로직 개선 사항을 통해 해결되었습니다.

    CVE-ID

    CVE-2014-8838: Apple

  • security_taskgate

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: App이 다른 App에 속한 키체인 항목에 접근할 수 있음

    설명: 키체인에 접근 제어 문제가 발생합니다. 자체 서명 또는 개발자 ID 인증서가 있는 응용 프로그램은 접근 제어 목록이 키체인 그룹을 기반으로 하는 키체인 항목에 접근할 수 있습니다. 이 문제는 키체인 그룹에 대한 접근 권한을 부여할 때 서명 ID를 확인하여 해결되었습니다.

    CVE-ID

    CVE-2014-8831: Apple

  • Spotlight

    대상: OS X Yosemite v10.10 및 v10.10.1

    영향: 이메일 발신자가 수신자의 IP 주소를 정할 수 있음

    설명: Spotlight가 Mail의 '메시지에서 원격 이메일 콘텐츠 로드' 설정 상태를 확인하지 않았습니다. 이 문제는 향상된 구성 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-8839: The New York Times의 John Whitehead, LastFriday.no의 Frode Moe

  • Spotlight

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: Spotlight가 외장 하드 드라이브에 예상치 못한 정보를 저장할 수 있음

    설명: 인덱싱할 때 메모리 콘텐츠가 외장 하드 드라이브에 작성되었을 수 있는 문제가 Spotlight에서 발생합니다. 이 문제는 향상된 메모리 관리를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-8832: F-Secure

  • SpotlightIndex

    대상: OS X Yosemite v10.10 및 v10.10.1

    영향: Spotlight가 사용자에 속하지 않는 파일에 대한 결과를 표시할 수 있음

    설명: Spotlight에서 권한 캐시를 처리할 때 역직렬화 문제가 발생합니다. Spotlight 대기열을 수행하는 사용자가 충분한 읽기 권한이 없는 파일이 참조된 검색 결과를 표시했을 수 있습니다. 이 문제는 향상된 경계 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-8833: Independent Technology Consultant의 David J Peacock

  • sysmond

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10 및 v10.10.1

    영향: 악성 응용 프로그램이 루트 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 로컬 응용 프로그램이 권한을 에스컬레이션하도록 허용하는 유형 혼돈 취약점이 발생합니다. 이 문제는 향상된 유형 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-8835: Google Project Zero의 Ian Beer

  • UserAccountUpdater

    대상: OS X Yosemite v10.10 및 v10.10.1

    영향: 인쇄 관련 환경설정 파일에 PDF 문서에 관한 민감한 정보가 포함될 수 있음

    설명: OS X Yosemite v10.10에서 암호가 인쇄 환경설정 파일에 포함되었을 수 있는 인쇄 대화 상자에서 생성된 암호 보호 PDF 파일을 처리할 때 발생하는 문제가 해결되었습니다. 이 업데이트는 인쇄 환경설정 파일에 있을 수 있는 허용되지 않는 정보를 제거합니다.

    CVE-ID

    CVE-2014-8834: Apple

참고: OS X Yosemite 10.10.2에는 Safari 8.0.3의 보안 콘텐츠가 포함되어 있습니다.

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능, 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 인터넷을 사용하는 데는 위험이 따르기 마련입니다. 자세한 내용은 공급업체에 문의하십시오. 기타 회사 및 제품 이름은 각 소유자의 상표일 수 있습니다.

게시일: