OS X Yosemite v10.10.4 및 보안 업데이트 2015-005의 보안 콘텐츠에 관하여

이 문서에서는 OS X Yosemite v10.10.4 및 보안 업데이트 2015-005의 보안 콘텐츠에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대해 자세히 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 대한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대해 알아보려면 Apple 보안 업데이트를 참조하십시오.

OS X Yosemite v10.10.4 및 보안 업데이트 2015-005

  • 관리 프레임워크

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 프로세스에서 적절한 인증 없이 관리 권한을 얻을 수 있음

    설명: XPC 자격을 확인할 때 문제가 발생합니다. 이 문제는 향상된 자격 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3671: TrueSec의 Emil Kvarnhammar

  • 관리 프레임워크

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 관리자가 아닌 사용자가 관리자 권한을 얻을 수 있음

    설명: 사용자 인증을 처리할 때 문제가 발생합니다. 이 문제는 향상된 오류 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3672: TrueSec의 Emil Kvarnhammar

  • 관리 프레임워크

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 공격자가 디렉토리 유틸리티를 남용하여 루트 권한을 얻을 수 있음

    설명: 디렉토리 유틸리티를 이동 및 수정하여 자격이 있는 프로세스 내에서 코드를 실행할 수 있습니다. 이 문제는 writeconfig 클라이언트가 실행될 수 있는 디스크 위치를 제한하여 해결되었습니다.

    CVE-ID

    CVE-2015-3673: Synack의 Patrick Wardle, TrueSec의 Emil Kvarnhammar

  • afpserver

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 원격 공격자가 응용 프로그램을 예기치 않게 종료하거나 임의 코드를 실행할 수 있음

    설명: AFP 서버에서 메모리 손상이 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3674: NCC Group의 Dean Jerkovich

  • Apache

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 공격자가 올바른 자격 증명을 알고 있지 않아도 HTTP 인증으로 보호된 디렉토리에 접근할 수 있음

    설명: 기본 Apache 구성에 mod_hfs_apple이 포함되지 않았습니다. Apache를 수동으로 활성화하고 구성을 변경하지 않은 경우 접근할 수 없어야 하는 일부 파일에 특별히 제작된 URL을 사용하여 접근할 수 있게 된 것일 수 있습니다. 이 문제는 mod_hfs_apple을 활성화하여 해결되었습니다.

    CVE-ID

    CVE-2015-3675: Apple

  • Apache

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: PHP에서 여러 가지 취약점이 발생하며 이 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있음

    설명: 5.5.24 및 5.4.40 이전 PHP 버전에 여러 가지 취약점이 발생합니다. 이 문제는 PHP를 5.5.24 및 5.4.40 버전으로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2015-0235

    CVE-2015-0273

  • AppleGraphicsControl

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 커널 메모리 레이아웃을 확인할 수 있음

    설명: AppleGraphicsControl에 커널 메모리 레이아웃을 공개할 수 있는 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3676: KEEN 팀의 Chen Liang

  • AppleFSCompression

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 커널 메모리 레이아웃을 확인할 수 있음

    설명: LZVN 압축에서 커널 메모리 콘텐츠를 공개할 수 있는 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3677: HP Zero Day Initiative의 익명의 연구원

  • AppleThunderboltEDMService

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 로컬 프로세스에서 특정 Thunderbolt 명령을 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3678: Apple

  • ATS

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악의적으로 제작된 서체 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 특정 서체를 처리할 때 여러 가지 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3679: HP Zero Day Initiative의 Pawel Wylecial

    CVE-2015-3680: HP Zero Day Initiative의 Pawel Wylecial

    CVE-2015-3681: John Villamil(@day6reak), Yahoo Pentest 팀

    CVE-2015-3682: 魏诺德

  • Bluetooth

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: Bluetooth HCI 인터페이스에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3683: Emaze Networks의 Roberto Paleari 및 Aristide Fattori

  • 인증 신뢰 정책

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 권한 있는 네트워크 위치에 있는 공격자가 네트워크 트래픽을 가로챌 수 있음

    설명: 인증 기관 CNNIC에서 중간 인증서를 올바르지 않게 발행합니다. 이 문제는 잘못 발행된 중간 인증서 전에 발행된 인증서의 하위 설정만 신뢰하도록 하는 메커니즘을 추가하여 해결되었습니다. 자세한 내용은 보안 부분 신뢰 허용 목록에서 확인할 수 있습니다.

  • 인증 신뢰 정책

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    설명: 인증 신뢰 정책이 업데이트되었습니다. 인증서의 전체 목록은 OS X의 신뢰할 수 있는 스토어에서 확인할 수 있습니다.

  • CFNetwork HTTPAuthentication

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악의적으로 제작된 다음 URL에 접근하면 임의 코드가 실행될 수 있음

    설명: 특정 URL 자격 증명을 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3684: Apple

  • CoreText

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악의적으로 제작된 텍스트 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 텍스트 파일 처리 시 여러 가지 메모리 손상 문제가 발생합니다. 이러한 문제는 향상된 경계 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil(@day6reak), Yahoo Pentest 팀

    CVE-2015-3687: John Villamil(@day6reak), Yahoo Pentest 팀

    CVE-2015-3688: John Villamil(@day6reak), Yahoo Pentest 팀

    CVE-2015-3689: Apple

  • coreTLS

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 권한 있는 네트워크 위치에 있는 공격자가 SSL/TLS 연결을 가로챌 수 있음

    설명: coreTLS에서 짧은 ephemeral DH(Diffie-Hellman) 키가 허용됩니다(export-strength ephemeral DH cipher suites에서 사용됨). Logjam이라고도 알려진 이 문제로 서버에서 export-strength ephemeral DH cipher suite가 지원되는 경우 권한 있는 네트워크 위치에 있는 공격자가 보안을 512비트 DH로 다운그레이드하도록 허용되었습니다. 이 문제는 DH ephemeral 키에 허용되는 기본 최소 크기를 768비트로 늘려서 해결되었습니다.

    CVE-ID

    CVE-2015-4000: Hanno Boeck weakdh.org의 weakdh 팀

  • DiskImages

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 커널 메모리 레이아웃을 확인할 수 있음

    설명: 디스크 이미지 처리 시 정보 공개 문제가 발생합니다. 이 문제는 향상된 메모리 관리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3690: HP Zero Day Initiative의 Peter Rutenbar

  • 디스플레이 드라이버

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 모니터 제어 명령 세트 커널 확장 파일에서 UserLand 프로세스에 의해 커널 내의 기능 포인터 값이 제어될 수 있는 문제가 발생합니다. 이 문제는 영향을 받는 인터페이스를 제거하여 해결되었습니다.

    CVE-ID

    CVE-2015-3691: Emaze Networks의 Roberto Paleari 및 Aristide Fattori

  • EFI

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 루트 권한을 가진 악성 응용 프로그램이 EFI 플래시 메모리를 수정할 수 있음

    설명: 잠자기 상태에서 재개할 때 EFI 플래시에서 불충분한 잠금 문제가 발생합니다. 이 문제는 향상된 잠금을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3692: Two Sigma Investments의 Trammell Hudson, LegbaCore LLC, Pedro Vilaça의 Xeno Kovah 및 Corey Kallenberg

  • EFI

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램에서 메모리를 손상시켜 권한을 에스컬레이션할 수 있음

    설명: 일부 DDR3 RAM에서 메모리를 손상시킬 수 있는 Rowhammer라고도 알려진 방해 오류가 발생합니다. 이 문제는 메모리 재생률을 늘려 완화되었습니다.

    CVE-ID

    CVE-2015-3693: Google의 Mark Seaborn 및 Thomas Dullien, Yoongu Kim 등의 기존 연구를 토대로 작업(2014)

  • FontParser

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악의적으로 제작된 서체 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 서체 파일 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 입력 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3694: John Villamil(@day6reak), Yahoo Pentest 팀

  • 그래픽 드라이버

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: NVIDIA 그래픽 드라이버에서 경계 밖 쓰기 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3712: Google Project Zero의 Ian Beer

  • Intel 그래픽 드라이버

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: Intel 그래픽 드라이버에서 여러 가지 버퍼 오버플로우가 문제가 발생하며 이 중 가장 심각한 문제로 인해 시스템 권한에서 임의 코드가 실행될 수 있음

    설명: Intel 그래픽 드라이버에서 여러 가지 버퍼 오버플로우가 문제가 발생합니다. 이러한 문제는 추가 경계 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3695: Google Project Zero의 Ian Beer

    CVE-2015-3696: Google Project Zero의 Ian Beer

    CVE-2015-3697: Google Project Zero의 Ian Beer

    CVE-2015-3698: Google Project Zero의 Ian Beer

    CVE-2015-3699: Google Project Zero의 Ian Beer

    CVE-2015-3700: Google Project Zero의 Ian Beer

    CVE-2015-3701: Google Project Zero의 Ian Beer

    CVE-2015-3702: KEEN 팀

  • ImageIO

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: libtiff에서 여러 가지 취약점이 발생하며 이 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있음

    설명: 4.0.4 이전 libtiff 버전에서 여러 가지 취약점이 발생합니다. libtiff를 4.0.4 버전으로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • ImageIO

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악의적으로 제작된 .tiff 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: .tiff 파일 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3703: Apple

  • 설치 프레임워크 레거시

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: Install.framework의 'runner' setuid 바이너리가 권한을 낮추는 방식에 있어서 여러 가지 문제가 발생합니다. 이 문제는 권한을 적절하게 낮추어서 해결되었습니다.

    CVE-ID

    CVE-2015-3704: Google Project Zero의 Ian Beer

  • IOAcceleratorFamily

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: IOAcceleratorFamily에서 여러 가지 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3705: KEEN 팀

    CVE-2015-3706: KEEN 팀

  • IOFireWireFamily

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: FireWire 드라이버에서 여러 가지 Null 포인터 역참조 문제가 발생합니다. 이러한 문제는 향상된 오류 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3707: Emaze Networks의 Roberto Paleari 및 Aristide Fattori
  • 커널

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 커널 메모리 레이아웃을 확인할 수 있음

    설명: 커널 확장 파일과 관련된 API를 처리할 때 메모리 관리 문제가 발생하며 이로 인해 커널 메모리 레이아웃이 공개될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3720: Stefan Esser
  • 커널

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 커널 메모리 레이아웃을 확인할 수 있음

    설명: HFS 매개변수를 처리할 때 메모리 관리 문제가 발생하며 이로 인해 커널 메모리 레이아웃이 공개될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3721: Google Project Zero의 Ian Beer
  • kext 도구

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 임시 파일을 덮어쓸 수 있음

    설명: 새로운 파일을 생성하는 동안 기호 링크 다음에 kextd가 표시됩니다. 이 문제는 향상된 기호 링크 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3708: Google Project Zero의 Ian Beer

  • kext 도구

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 로컬 사용자가 사용하지 않는 커널 확장 파일을 로드할 수 있음

    설명: 커널 확장 파일의 경로 유효성을 검사하는 동안 TOCTOU(time-of-check time-of-use) 경합 조건이 발생합니다. 이 문제는 커널 확장 파일의 경로 유효성 검사에 대한 향상된 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3709: Google Project Zero의 Ian Beer

  • Mail

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악의적으로 제작된 이메일로 인해 메시지를 볼 때 메시지 내용이 임의의 웹 페이지로 바뀔 수 있음

    설명: HTML 이메일 지원에서 문제가 발생하고 이로 인해 메시지 내용이 임의의 웹 페이지로 새로 고쳐지는 것이 허용됩니다. 이 문제는 HTML 콘텐츠의 제한적 지원을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3710: vtty.com의 Aaron Sigel, Jan Souček

  • ntfs

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램이 커널 메모리 레이아웃을 확인할 수 있음

    설명: NTFS에서 커널 메모리 콘텐츠가 공개될 수 있는 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3711: HP Zero Day Initiative의 Peter Rutenbar

  • ntp

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 권한 있는 위치에 있는 공격자가 서비스 거부를 수행하여 두 ntp 클라이언트를 공격할 수 있음

    설명: 구성된 끝점에서 ntp 패킷 인증을 받을 때 여러 가지 문제가 발생합니다. 이러한 문제는 향상된 연결 상태 관리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-1798

    CVE-2015-1799

  • OpenSSL

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 공격자가 보내기 등급 암호가 지원되는 서버에 대한 연결을 가로채도록 허용하는 문제를 비롯하여 OpenSSL에서 여러 가지 문제가 발생함

    설명: OpenSSL을 0.9.8zf 버전으로 업데이트하여 해결되었던 OpenSSL 0.9.8zd에서 여러 가지 문제가 발생합니다.

    CVE-ID

    CVE-2015-0209

    CVE-2015-0286

    CVE-2015-0287

    CVE-2015-0288

    CVE-2015-0289

    CVE-2015-0293

  • QuickTime

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악의적으로 제작된 동영상 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QuickTime에서 여러 가지 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3661: HP Zero Day Initiative의 G. Geshev

    CVE-2015-3662: HP Zero Day Initiative의 kdot

    CVE-2015-3663: HP Zero Day Initiative의 kdot

    CVE-2015-3666: HP Zero Day Initiative의 Source Incite 소속 Steven Seeley

    CVE-2015-3667: Ryan Pentney, Cisco Talos의 Richard Johnson 및 Fortinet FortiGuard Labs의 Kai Lu

    CVE-2015-3668: Fortinet FortiGuard Labs의 Kai Lu

    CVE-2015-3713: Apple

  • 보안

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 원격 공격자로 인해 응용 프로그램이 예상치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 보안 프레임워크 코드에서 S/MIME 이메일 및 일부 다른 서명한 또는 암호화한 대상체를 분석할 때 정수 오버플로우 문제가 발생합니다. 이 문제는 향상된 유효성 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-1741

  • 보안

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 변형된 응용 프로그램을 실행하지 못할 수 있음

    설명: 사용자 설정 리소스 규칙을 사용하는 App이 변형에 취약해져서 서명을 무효화하지 않았을 수 있습니다. 이 문제는 향상된 리소스 유효성 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3714: Leviathan Security Group의 Joshua Pitts

  • 보안

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: 악성 응용 프로그램에서 코드 서명 확인이 우회될 수 있음

    설명: 코드 서명에 의해 응용 프로그램 번들 밖에서 로드된 라이브러리가 확인되지 않는 문제가 발생합니다. 이 문제는 향상된 번들 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3715: Synack의 Patrick Wardle

  • Spotlight

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.3

    영향: Spotlight에서 악성 파일을 검색하면 명령이 삽입될 수 있음

    설명: 로컬 사진 보관함에 추가된 사진의 파일 이름을 처리할 때 명령 삽입 취약점이 발생합니다. 이 문제는 향상된 입력 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3716: Apple

  • SQLite

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 원격 공격자로 인해 응용 프로그램이 예상치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: SQLite의 printf 구현에서 여러 가지 버퍼 오버플로우 문제가 발생합니다. 이러한 문제는 향상된 경계 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3717: HP Zero Day Initiative의 Peter Rutenbar

  • SQLite

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악의적으로 제작된 SQL 명령으로 인해 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: SQLite 기능에 API 문제가 존재합니다. 이 문제는 제한을 강화하는 방법으로 해결되었습니다.

    CVE-ID

    CVE-2015-7036: HP Zero Day Initiative의 Peter Rutenbar

  • System Stats

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악성 App에 의해 systemstatsd가 손상될 수 있음

    설명: systemstatsd의 프로세스 간 통신을 처리할 때 유형 혼돈 문제가 발생합니다. 악의적으로 형식이 지정된 메시지를 systemstatsd로 보내면 임의 코드가 systemstatsd 프로세스로 실행될 수 있습니다. 이 문제는 추가 유형 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3718: Emaze Networks의 Roberto Paleari 및 Aristide Fattori

  • TrueTypeScaler

    대상: OS X Yosemite v10.10~v10.10.3

    영향: 악의적으로 제작된 서체 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 서체 파일 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 입력 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3719: John Villamil(@day6reak), Yahoo Pentest 팀

  • zip

    대상: OS X Yosemite v10.10~v10.10.3

    영향: unzip 도구를 사용하여 악의적으로 제작된 zip 파일을 추출하면 예기치 않게 응용 프로그램이 종료되거나 임의 코드가 실행될 수 있음

    설명: zip 파일을 처리할 때 여러 가지 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-8139

    CVE-2014-8140

    CVE-2014-8141

OS X Yosemite v10.10.4에는 Safari 8.0.7의 보안 콘텐츠가 포함되어 있습니다.

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능, 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 인터넷을 사용하는 데는 위험이 따르기 마련입니다. 자세한 내용은 공급업체에 문의하십시오. 기타 회사 및 제품 이름은 각 소유자의 상표일 수 있습니다.

게시일: