iOS 8.4의 보안 콘텐츠에 관하여

이 문서에서는 iOS 8.4의 보안 콘텐츠에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대해 자세히 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 대한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대해 알아보려면 Apple 보안 업데이트를 참조하십시오.

iOS 8.4

  • 응용 프로그램 Store

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 악의적인 범용 권한 설정 프로파일 App에서 App의 실행이 차단될 수 있음

    설명: 범용 권한 설정 프로파일 App의 설치 로직에서 문제가 발생합니다. 기존 번들 ID에서 충돌을 일으킬 수 있습니다. 이 문제는 향상된 충돌 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3722: FireEye, Inc.의 Zhaofeng Chen, Hui Xue 및 Tao(Lenx) Wei
  • 인증 신뢰 정책

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 권한 있는 네트워크 위치에 있는 공격자가 네트워크 트래픽을 가로챌 수 있음

    설명: 인증 기관 CNNIC에서 중간 인증서를 올바르지 않게 발행했습니다. 이 문제는 잘못 발행된 중간 인증서 전에 발행된 인증서의 하위 설정만 신뢰하도록 하는 메커니즘을 추가하여 해결되었습니다. 자세한 내용은 보안 부분 신뢰 허용 목록에서 확인할 수 있습니다.

  • 인증 신뢰 정책

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 인증 신뢰 정책 업데이트

    설명: 인증 신뢰 정책이 업데이트되었습니다. 인증서의 전체 목록은 iOS의 신뢰할 수 있는 스토어에서 확인할 수 있습니다.

  • CFNetwork HTTPAuthentication

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품 영향: 악의적으로 제작된 다음 URL에서 임의 코드가 실행될 수 있음

    설명: 특정 URL 자격 증명 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3684: Apple

  • CoreGraphics

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 악의적으로 제작된 PDF 파일을 열면 응용 프로그램이 예상치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: ICC 프로파일을 처리할 때 여러 가지 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3723: HP Zero Day Initiative의 chaithanya(SegFault)

    CVE-2015-3724: HP Zero Day Initiative의 WanderingGlitch

  • CoreText

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 악의적으로 제작된 텍스트 파일을 처리할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 텍스트 파일 처리 시 여러 가지 메모리 손상 문제가 발생합니다. 이러한 문제는 향상된 경계 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil(@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil(@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil(@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 권한 있는 네트워크 위치에 있는 공격자가 SSL/TLS 연결을 가로챌 수 있음

    설명: coreTLS에서 짧은 ephemeral DH(Diffie-Hellman) 키가 허용되었습니다(export-strength ephemeral DH cipher suites에서 사용됨). Logjam이라고도 알려진 이 문제로 서버에서 export-strength ephemeral DH cipher suite가 지원되는 경우 권한 있는 네트워크 위치에 있는 공격자가 보안을 512비트 DH로 다운그레이드하도록 허용되었습니다. 이 문제는 DH ephemeral 키에 허용되는 기본 최소 크기를 768비트로 늘려서 해결되었습니다.

    CVE-ID

    CVE-2015-4000: Hanno Boeck weakdh.org의 weakdh 팀

  • DiskImages

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 악성 응용 프로그램에 커널 메모리 레이아웃이 노출될 수 있음

    설명: 디스크 이미지 처리 시 정보 공개 문제가 발생합니다. 이 문제는 향상된 메모리 관리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3690: HP Zero Day Initiative의 Peter Rutenbar

  • FontParser

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 악의적으로 제작된 서체 파일을 처리할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 서체 파일 처리 시 여러 가지 메모리 손상 문제가 발생합니다. 이러한 문제는 향상된 입력 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3694: John Villamil(@day6reak), Yahoo Pentest 팀

    CVE-2015-3719: John Villamil(@day6reak), Yahoo Pentest 팀

  • ImageIO

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 악의적으로 제작된 .tiff 파일을 처리할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: .tiff 파일 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 경계 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3703: Apple

  • ImageIO

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: libtiff에서 여러 가지 취약점이 발생하며 이 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있음

    설명: 4.0.4 이전 libtiff 버전에서 발생한 여러 가지 취약점입니다. libtiff를 4.0.4 버전으로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130
     

  • 커널

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 악성 응용 프로그램에 커널 메모리 레이아웃이 노출될 수 있음

    설명: HFS 매개변수 처리 시 메모리 관리 문제가 발생하며 이로 인해 커널 메모리 레이아웃이 공개될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3721: Google Project Zero의 Ian Beer
  • Mail

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 악의적으로 제작된 이메일로 인해 메시지를 볼 때 메시지 내용이 임의의 웹 페이지로 바뀔 수 있음

    설명: HTML 이메일 지원에서 발생한 문제로 인해 메시지 내용이 임의의 웹 페이지로 새로 고쳐지는 것이 허용됩니다. 이 문제는 HTML 콘텐츠의 제한적 지원을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3710: vtty.com의 Aaron Sigel, Jan Souček
  • MobileInstallation

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 악의적인 범용 권한 설정 프로파일 App에서 Watch App의 실행이 차단될 수 있음

    설명: Watch에 있는 범용 권한 설정 프로파일 App의 설치 로직에서 문제가 발생합니다. 이로 인해 기존 번들 ID에서 충돌이 발생할 수 있습니다. 이 문제는 향상된 충돌 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3725: FireEye, Inc.의 Zhaofeng Chen, Hui Xue 및 Tao(Lenx) Wei

  • Safari

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 악의적으로 제작된 웹 사이트를 방문하면 파일 시스템에 있는 사용자 정보가 손상될 수 있음

    설명: 권한이 없는 출처에서 파일 시스템의 콘텐츠에 접근할 수 있는 상태 관리 문제가 Safari에서 발생합니다. 이 문제는 향상된 상태 관리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-1155: HP Zero Day Initiative의 Joe Vennix(Rapid7 Inc.)
     

  • Safari

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 계정을 탈취당할 수 있음

    설명: Safari에서 교차 원본 재이동에 대한 출처 요청 헤더를 유지할 경우 문제가 발생합니다. 이로 인해 악의적인 웹 사이트가 CSRF 차단을 피해 갈 수 있습니다. 이 문제는 향상된 재전송 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3658: Facebook의 Brad Hill
  • 보안

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 원격 공격자로 인해 응용 프로그램이 예상치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 보안 프레임워크 코드에서 S/MIME 이메일 및 일부 다른 서명한 또는 암호화한 대상체를 분석할 때 정수 오버플로우 문제가 발생합니다. 이 문제는 향상된 유효성 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-1741

  • SQLite

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 원격 공격자로 인해 응용 프로그램이 예상치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: SQLite의 printf 구현에서 여러 가지 버퍼 오버플로우 문제가 발생합니다. 이러한 문제는 향상된 경계 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3717: HP Zero Day Initiative의 Peter Rutenbar

  • SQLite

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 악의적으로 제작된 SQL 명령으로 인해 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: SQLite 기능에서 API 문제가 발생합니다. 이 문제는 향상된 차단을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-7036: HP의 Zero Day Initiative의 Peter Rutenbar

  • 전화 통신

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 악의적으로 제작된 SIM 카드로 인해 임의 코드가 실행될 수 있음

    설명: SIM/UIM 페이로드 분석 시 여러 가지 입력 유효성 문제가 발생합니다. 이러한 문제는 향상된 페이로드 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3726: Endgame의 Matt Spisak

  • WebKit

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 링크를 클릭하여 악성 웹 사이트를 방문하면 사용자 인터페이스 스푸핑이 발생할 수 있음

    설명: 앵커 요소에서 rel 평가 항목을 처리할 때 문제가 발생합니다. 목표 대상체에서 링크 대상체에 무단으로 접근할 수 있습니다. 이 문제는 링크 유형 준수 개선을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-1156: Moodle의 Zachary Durber
  • WebKit

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: WebKit에서 여러 가지 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-1152: Apple

    CVE-2015-1153: Apple

  • WebKit

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 악의적으로 제작된 웹 페이지를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: SQLite 인증자에서 비교 부족 문제가 발생하여 임의의 SQL 함수 호출이 허용됩니다. 이 문제는 향상된 인증 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3659: HP Zero Day Initiative의 Peter Rutenbar

  • WebKit

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: 악의적으로 제작된 웹 사이트에서 다른 웹 사이트의 WebSQL 데이터베이스에 접근할 수 있음

    설명: WebSQL 테이블 이름 변경에 대한 인증 확인 시 문제가 발생합니다. 악의적으로 제작된 웹 사이트가 다른 웹 사이트에 속한 데이터베이스에 접근할 수 있습니다. 이 문제는 향상된 인증 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3727: HP Zero Day Initiative의 Peter Rutenbar

  • Wi-Fi 연결

    대상: iPhone 4s 및 이후 제품, iPod touch (5th generation) 및 이후 제품, iPad 2 및 이후 제품

    영향: iOS 장비에서 알려진 ESSID를 광고하며 다운그레이드된 보안 유형을 가진 신뢰할 수 없는 액세스 포인트에 자동으로 연결될 수 있음

    설명: 알려진 액세스 포인트 광고의 Wi-Fi 관리자 평가에서 비교 부족 문제가 발생합니다. 이 문제는 향상된 보안 매개변수 일치를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3728: Carnegie Mellon University의 Brian W. Gray, TripWire의 Craig Young

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능, 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 인터넷을 사용하는 데는 위험이 따르기 마련입니다. 자세한 내용은 공급업체에 문의하십시오. 기타 회사 및 제품 이름은 각 소유자의 상표일 수 있습니다.

게시일: