OS X Yosemite v10.10.5 및 보안 업데이트 2015-006의 보안 콘텐츠에 관하여

이 문서에서는 OS X Yosemite v10.10.5 및 보안 업데이트 2015-006의 보안 콘텐츠에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대해 자세히 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 대한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대해 알아보려면 Apple 보안 업데이트를 참조하십시오.

OS X Yosemite v10.10.5 및 보안 업데이트 2015-006

  • Apache

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.4

    영향: Apache 2.4.16에서 여러 취약점이 발생하는데 이 중 가장 심각한 취약점으로 인해 원격 공격자가 서비스를 거부할 수 있음.

    설명: Apache 2.4.16 이전 버전에서 여러 취약점이 발생합니다. 이는 Apache를 2.4.16 버전으로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2014-3581

    CVE-2014-3583

    CVE-2014-8109

    CVE-2015-0228

    CVE-2015-0253

    CVE-2015-3183

    CVE-2015-3185

  • apache_mod_php

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.4

    영향: PHP 5.5.20에서 여러 취약점이 발생하는데 이 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있음.

    설명: PHP 5.5.20 이전 버전에서 여러 취약점이 발생합니다. 이는 Apache를 5.5.27 버전으로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3307

    CVE-2015-3329

    CVE-2015-3330

    CVE-2015-4021

    CVE-2015-4022

    CVE-2015-4024

    CVE-2015-4025

    CVE-2015-4026

    CVE-2015-4147

    CVE-2015-4148

  • Apple ID OD 플러그인

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악성 응용 프로그램이 로컬 사용자의 암호를 변경할 수 있음

    설명: 환경에 따라 암호 인증 시 상태 관리 문제가 발생할 수 있습니다. 이 문제는 향상된 상태 관리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3799: HP ZDI(Zero Day Initiative)의 익명의 연구원

  • AppleGraphicsControl

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악성 응용 프로그램이 커널 메모리 레이아웃을 확인할 수 있음

    설명: AppleGraphicsControl에 커널 메모리 레이아웃을 공개할 수 있는 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-5768: KeenTeam의 JieTao Yang

  • Bluetooth

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: IOBluetoothHCIController에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3779: Facebook Security의 Teddy Reed

  • Bluetooth

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악성 응용 프로그램이 커널 메모리 레이아웃을 확인할 수 있음

    설명: 메모리 관리 문제가 발생하여 커널 메모리 레이아웃이 공개될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3780: Emaze Networks의 Roberto Paleari 및 Aristide Fattori

  • Bluetooth

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악성 App이 다른 iCloud 장비의 알림에 접근할 수 있음

    설명: 악성 App이 Apple 알림 센터 서비스를 통해 Bluetooth로 연결된 Mac이나 iOS 장비의 알림 센터 알림에 접근할 수 있는 문제가 발생합니다. 이 문제는 Handoff를 사용하고 동일한 iCloud 계정으로 로그인한 장비에 영향을 미칩니다. 이 문제는 Apple 알림 센터 서비스에 대한 접근을 취소하여 해결되었습니다.

    CVE-ID

    CVE-2015-3786: Xiaolong Bai(칭화대학교 ), System Security Lab(인디애나대학교), Tongxin Li(베이징대학교), XiaoFeng Wang(인디애나대학교)

  • Bluetooth

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 권한 있는 네트워크 위치에 있는 공격자가 비정상적인 Bluetooth 패킷을 이용한 공격을 통해 서비스 거부를 수행할 수 있음

    설명: Bluetooth ACL 패킷 분석 시 입력 유효성 확인 문제가 발생합니다. 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3787: Trend Micro

  • Bluetooth

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 로컬 공격자가 응용 프로그램을 예기치 않게 종료하거나 임의 코드를 실행할 수 있음

    설명: Blued의 XPC 메시지를 처리할 때 다중 버퍼 오버플로우 문제가 발생합니다. 이러한 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3777: [PDX]의 mitp0sh

  • bootp

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악성 Wi-Fi 네트워크가 이전에 장비가 접근한 네트워크를 확인할 수 있음

    설명: Wi-Fi 네트워크에 연결할 때 iOS가 DNAv4 프로토콜을 통해 이전에 접근한 네트워크의 MAC 주소를 브로드캐스트할 수 있습니다. 이 문제는 암호화되지 않은 Wi-Fi 네트워크의 DNAv4를 비활성화하여 해결되었습니다.

    CVE-ID

    CVE-2015-3778: 옥스퍼드대학 옥스퍼드 인터넷 연구소의 Piers O'Hanlon(EPSRC Being There 프로젝트)

  • CloudKit

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악성 응용 프로그램이 이전에 로그인한 사용자의 iCloud 사용자 기록에 접근할 수 있음

    설명: 사용자 로그아웃 시 CloudKit에서 상태 불일치 문제가 발생합니다. 이 문제는 향상된 상태 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3782: 토론토대학의 Deepkanwal Plaha

  • CoreMedia 재생

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 동영상 파일을 보면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: CoreMedia 재생에서 메모리 손상 문제가 발생합니다. 이는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 서체 파일을 처리할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 서체 파일 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-5761: John Villamil(@day6reak), Yahoo Pentest 팀

  • CoreText

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 서체 파일을 처리할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 서체 파일 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-5755: John Villamil(@day6reak), Yahoo Pentest 팀

  • curl

    대상: OS X Yosemite v10.10~v10.10.4

    영향: cURL 및 libcurl 7.38.0 이전 버전에서 여러 취약점이 발생하는데 이 중 하나로 인해 원격 공격자가 동일 출처 정책을 통과할 수 있음.

    설명: cURL 및 libcurl 7.38.0 이전 버전에서 여러 취약점이 발생합니다. 이러한 문제는 cURL을 7.43.0으로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2014-3613

    CVE-2014-3620

    CVE-2014-3707

    CVE-2014-8150

    CVE-2014-8151

    CVE-2015-3143

    CVE-2015-3144

    CVE-2015-3145

    CVE-2015-3148

    CVE-2015-3153

  • 데이터 탐색기 엔진

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 유니코드 문자의 시퀀스를 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 유니코드 문자 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-5750: Safeye 팀(www.safeye.org)의 M1x7e1

  • 날짜 및 시간 환경설정 패널

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 시스템 시간 기반으로 작동하는 응용 프로그램이 예기치 않은 동작을 실행할 수 있음

    설명: 시스템 날짜 및 시간 환경설정 수정 시 인증 문제가 발생합니다. 이 문제는 추가 인증 확인으로 해결되었습니다.

    CVE-ID

    CVE-2015-3757: Mark S C Smith

  • 사전 응용 프로그램

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 권한 있는 네트워크 위치에 있는 공격자가 사용자의 사전 App 질의를 가로챌 수 있음

    설명: 사전 App에 문제가 발생하여 사용자 통신을 적절하게 보호하지 못합니다. 이 문제는 사전 질의를 HTTPS로 옮겨 해결되었습니다.

    CVE-ID

    CVE-2015-3774: EEQJ의 Jeffrey Paul, Google Security 팀의 Jan Bee

  • DiskImages

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 DMG 파일을 처리할 때 시스템 권한으로 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 비정상적인 DMG 파일 분석 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3800: Yahoo Pentest 팀의 Frank Graziano 

  • dyld

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: dyld에서 경로 유효성 확인 문제가 발생합니다. 이는 향상된 환경 삭제 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3760: grayhash의 beist, Stefan Esser

  • FontParser

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 서체 파일을 처리할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 서체 파일 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3804: Apple

    CVE-2015-5775: Apple

  • FontParser

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 서체 파일을 처리할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 서체 파일 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-5756: John Villamil(@day6reak), Yahoo Pentest 팀

  • groff

    대상: OS X Yosemite v10.10~v10.10.4

    영향: pdfroff에서 여러 문제가 발생함

    설명: pdfroff에서 여러 문제가 발생하는데 이 중 가장 심각한 문제로 인해 파일 시스템이 임의로 수정될 수 있습니다. 이러한 문제는 pdfroff를 제거하여 해결되었습니다.

    CVE-ID

    CVE-2009-5044

    CVE-2009-5078

  • ImageIO

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 TIFF 이미지를 처리할 때 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있음

    설명: TIFF 이미지 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-5758: Apple

  • ImageIO

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 프로세스 메모리가 공개될 수 있음

    설명: ImageIO에서 PNG 및 TIFF 이미지를 처리할 때 메모리 액세스가 초기화되지 않는 문제가 발생합니다. 악의적인 웹 사이트를 방문하면 프로세스 메모리의 데이터가 웹 사이트로 전송될 수 있습니다. 이 문제는 향상된 메모리 초기화와 PNG 및 TIFF 이미지에 대한 추가 유효성 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-5781: Michal Zalewski

    CVE-2015-5782: Michal Zalewski

  • 설치 프레임워크 레거시

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악성 응용 프로그램이 루트 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: Install.framework의 'runner' 바이너리가 권한을 낮추는 방식에 있어서 문제가 발생합니다. 이 문제는 향상된 권한 관리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-5784: Google Project Zero의 Ian Beer

  • 설치 프레임워크 레거시

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: Install.framework의 'runner' 바이너리에 경쟁 조건 때문에 권한이 올바르지 않게 부여되는 문제가 발생합니다. 이 문제는 향상된 개체 잠금을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-5754: Google Project Zero의 Ian Beer

  • IOFireWireFamily

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: IOFireWireFamily에서 메모리 손상 문제가 발생합니다. 이러한 문제는 추가 유형 입력 유효성 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3769: Ilja van Sprundel

    CVE-2015-3771: Ilja van Sprundel

    CVE-2015-3772: Ilja van Sprundel

  • IOGraphics

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: IOGraphics에서 메모리 손상 문제가 발생합니다. 이 문제는 추가 유형 입력 유효성 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3770: Ilja van Sprundel

    CVE-2015-5783: Ilja van Sprundel

  • IOHIDFamily

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: IOHIDFamily에서 버퍼 오버플로우 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-5774: TaiG Jailbreak 팀

  • 커널

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악성 응용 프로그램이 커널 메모리 레이아웃을 확인할 수 있음

    설명: mach_port_space_info 인터페이스에서 문제가 발생하여 커널 메모리 레이아웃이 공개될 수 있습니다. 이는 mach_port_space_info 인터페이스를 비활성화하여 해결되었습니다.

    CVE-ID

    CVE-2015-3766: Alibaba Mobile 보안 팀의 Cererdlong(@PanguTeam)

  • 커널

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: IOKit 함수를 처리할 때 정수 오버플로우가 발생합니다. 이 문제는 향상된 IOKit API 인수 유효성 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3768: Ilja van Sprundel

  • 커널

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 로컬 사용자가 서비스 거부 공격을 일으킬 수 있음

    설명: fasttrap 드라이버에서 리소스 소모 문제가 발생합니다. 이는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-5747: m00nbsd의 Maxime VILLARD

  • 커널

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 로컬 사용자가 서비스 거부 공격을 일으킬 수 있음

    설명: HFS 볼륨 마운트 시 유효성 확인 문제가 발생합니다. 이는 검사를 추가하여 해결되었습니다.

    CVE-ID

    CVE-2015-5748: m00nbsd의 Maxime VILLARD

  • 커널

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악성 응용 프로그램이 서명되지 않은 코드를 실행할 수 있음

    설명: 특별히 제작된 실행 파일에서 서명되지 않은 코드가 서명된 코드에 추가되는 문제가 발생합니다. 이 문제는 향상된 코드 서명 유효성 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3806: TaiG Jailbreak 팀

  • 커널

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 특별히 제작된 실행 파일이 서명되지 않은 악성 코드를 실행할 수 있음

    설명: 다중 아키텍처 실행 파일이 평가되는 과정에서 서명되지 않은 코드가 실행될 수 있는 문제가 발생합니다. 이 문제는 향상된 실행 파일 유효성 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3803: TaiG Jailbreak 팀

  • 커널

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 로컬 사용자가 서명되지 않은 코드를 실행할 수 있음

    설명: Mach-O 파일을 처리할 때 유효성 확인 문제가 발생합니다. 이는 검사를 추가하여 해결되었습니다.

    CVE-ID

    CVE-2015-3802: TaiG Jailbreak 팀

    CVE-2015-3805: TaiG Jailbreak 팀

  • 커널

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 plist를 분석할 때 시스템 권한으로 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 비정상적인 plists 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3776: Facebook Security의 Teddy Reed, Jinx Germany의 Patrick Stein(@jollyjinx)

  • 커널

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 경로 유효성 확인 문제가 발생합니다. 이는 향상된 환경 삭제 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3761: Apple

  • Libc

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 정규식을 처리할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: TRE 라이브러리에서 메모리 손상 문제가 발생합니다. 이는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3796: Google Project Zero의 Ian Beer

    CVE-2015-3797: Google Project Zero의 Ian Beer

    CVE-2015-3798: Google Project Zero의 Ian Beer

  • Libinfo

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.4

    영향: 원격 공격자가 응용 프로그램을 예기치 않게 종료하거나 임의 코드를 실행할 수 있음

    설명: AF_INET6 소켓 처리 시 메모리 손상 문제가 발생합니다. 이는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-5776: Apple

  • libpthread

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: syscalls 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 잠금 상태 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-5757: Qihoo 360의 Lufeng Li

  • libxml2

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.4

    영향: libxml2 2.9.2 이전 버전에서 여러 취약점이 발생하는데 이 중 가장 심각한 문제로 인해 원격 공격자가 서비스를 거부할 수 있음

    설명: libxml2 2.9.2 이전 버전에서 여러 취약점이 발생합니다. 이는 libxml2를 2.9.2 버전으로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2012-6685: Google의 Felix Groebert

    CVE-2014-0191: Google의 Felix Groebert

  • libxml2

    대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 XML 문서 분석 시 사용자 정보가 공개될 수 있음

    설명: libxml2에서 메모리 액세스 문제가 발생합니다. 이는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-3660: Google의 Felix Groebert

  • libxml2

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 XML 문서 분석 시 사용자 정보가 공개될 수 있음

    설명: XML 파일을 분석할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3807: Apple

  • libxpc

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: 비정상적인 XPC 메시지를 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3795: Mathew Rowley

  • mail_cmds

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 로컬 사용자가 임의 shell 명령을 실행할 수 있음

    설명: 이메일 주소의 mailx를 분석할 때 유효성 확인 문제가 발생합니다. 이는 향상된 삭제를 통해 해결되었습니다.

    CVE-ID

    CVE-2014-7844

  • 알림 센터 OSX

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악성 응용 프로그램이 이전에 사용자에게 표시된 모든 알림에 접근할 수 있음

    설명: 알림 센터에서 문제가 발생하여 사용자 알림을 적절하게 삭제하지 못합니다. 이 문제는 사용자가 해제한 알림을 올바르게 삭제하여 해결되었습니다.

    CVE-ID

    CVE-2015-3764: Jonathan Zdziarski

  • ntfs

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음

    설명: NTFS에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-5763: Emaze Networks의 Roberto Paleari 및 Aristide Fattori

  • OpenSSH

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 원격 공격자가 실패한 로그인 시도에 대한 시간 지연을 피할 수 있고 무차별 암호 대입 공격을 수행할 수 있음

    설명: 키보드 대화식 장비를 처리할 때 문제가 발생합니다. 이 문제는 향상된 인증 요청 유효성 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-5600

  • OpenSSL

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.4

    영향: OpenSSL 0.9.8zg 이전 버전에서 여러 취약점이 발생하는데 이 중 가장 심각한 문제로 인해 원격 공격자가 서비스를 거부할 수 있음.

    설명: OpenSSL 0.9.8zg 이전 버전에서 여러 취약점이 발생합니다. 이는 OpenSSL을 버전 0.9.8zg로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2015-1788

    CVE-2015-1789

    CVE-2015-1790

    CVE-2015-1791

    CVE-2015-1792

  • perl

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 정규식을 분석할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: Perl에서 정규식을 분석하는 과정에서 정수 언더플로 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2013-7422

  • PostgreSQL

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.4

    영향: 공격자가 응용 프로그램을 예기치 않게 종료시키거나 적절한 권한 없이 데이터에 접근할 수 있음

    설명: PostgreSQL 9.2.4에서 여러 문제가 발생합니다. 이러한 문제는 PostgreSQL을 9.2.13으로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2014-0067

    CVE-2014-8161

    CVE-2015-0241

    CVE-2015-0242

    CVE-2015-0243

    CVE-2015-0244

  • python

    대상: OS X Yosemite v10.10~v10.10.4

    영향: Python 2.7.6에서 여러 취약점이 발생하는데 이 중 가장 심각한 취약점으로 인해 임의 코드가 실행될 수 있음

    설명: 2.7.6 이전 Python 버전에서 여러 취약점이 발생합니다. 이는 Python을 2.7.10 버전으로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2013-7040

    CVE-2013-7338

    CVE-2014-1912

    CVE-2014-7185

    CVE-2014-9365

  • QL Office

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 Office 문서를 분석할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: Office 문서를 분석할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-5773: Apple

  • QL Office

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 XML 파일 분석 시 사용자 정보가 공개될 수 있음

    설명: XML 파일 분석 시 외부 엔터티 참조 문제가 발생합니다. 이 문제는 향상된 분석을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3784: INTEGRITY S.A.의 Bruno Morisson

  • Quartz Composer 프레임워크

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 QuickTime 파일을 분석할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QuickTime 파일을 분석할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-5771: Apple

  • 훑어보기

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 이전에 본 웹 사이트를 검색하면 웹 브라우저가 시작되고 해당 웹 사이트를 렌더링할 수 있음

    설명: JavaScript를 실행 기능이 있는 QuickLook에서 문제가 발생합니다. 이 문제는 JavaScript 실행을 허용하지 않으면 해결됩니다.

    CVE-ID

    CVE-2015-3781: Facebook의 Andrew Pouliot, Qubole의 Anto Loyola

  • QuickTime 7

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 파일을 처리할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QuickTime에서 여러 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3772

    CVE-2015-3779

    CVE-2015-5753: Apple

    CVE-2015-5779: Apple

  • QuickTime 7

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 파일을 처리할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: QuickTime에서 여러 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3765: Audio Poison의 Joe Burnett

    CVE-2015-3788: Cisco Talos의 Ryan Pentney 및 Richard Johnson

    CVE-2015-3789: Cisco Talos의 Ryan Pentney 및 Richard Johnson

    CVE-2015-3790: Cisco Talos의 Ryan Pentney 및 Richard Johnson

    CVE-2015-3791: Cisco Talos의 Ryan Pentney 및 Richard Johnson

    CVE-2015-3792: Cisco Talos의 Ryan Pentney 및 Richard Johnson

    CVE-2015-5751: WalkerFuz

  • SceneKit

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 Collada 파일을 보면 임의 코드가 실행될 수 있음

    설명: SceneKit에서 Collada 파일을 처리할 때 힙 버퍼 오버플로우가 발생합니다. 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-5772: Apple

  • SceneKit

    대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10~v10.10.4

    영향: 원격 공격자가 응용 프로그램을 예기치 않게 종료하거나 임의 코드를 실행할 수 있음

    설명: SceneKit에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3783: Google Security 팀의 Haris Andrianakis

  • 보안

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 일반 사용자가 적절한 인증 없이 관리자 권한에 접근할 수 있음

    설명: 사용자 인증을 처리할 때 문제가 발생합니다. 이 문제는 향상된 인증 확인을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3775: [Eldon Ahrold]

  • SMBClient

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 원격 공격자가 응용 프로그램을 예기치 않게 종료하거나 임의 코드를 실행할 수 있음

    설명: SMB 클라이언트에서 메모리 손상이 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3773: Ilja van Sprundel

  • Speech UI

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 음성 경고 활성화와 함께 악의적으로 제작된 유니코드 문자열 분석 시 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 유니코드 문자열을 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3794: Refinitive의 Adam Greenbaum

  • sudo

    대상: OS X Yosemite v10.10~v10.10.4

    영향: sudo 1.7.10p9 이전 버전에서 여러 취약점이 발생하는데 이 중 가장 심각한 문제로 인해 공격자가 임의 파일에 접근할 수 있음

    설명: sudo 1.7.10p9 이전 버전에서 여러 취약점이 발생합니다. 이는 sudo를 버전 1.7.10p9로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2013-1775

    CVE-2013-1776

    CVE-2013-2776

    CVE-2013-2777

    CVE-2014-0106

    CVE-2014-9680

  • tcpdump

    대상: OS X Yosemite v10.10~v10.10.4

    영향: tcpdump 4.7.3에서 여러 취약점이 발생하는데 이 중 가장 심각한 문제로 인해 원격 공격자가 서비스를 거부할 수 있음.

    설명: tcpdump 4.7.3 이전 버전에서 여러 취약점이 발생합니다. 이는 tcpdump를 4.7.3 버전으로 업데이트하여 해결되었습니다.

    CVE-ID

    CVE-2014-8767

    CVE-2014-8769

    CVE-2014-9140

  • 텍스트 포맷

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 텍스트 파일 분석 시 사용자 정보가 공개될 수 있음

    설명: 텍스트 편집기 분석 시 외부 엔터티 참조 문제가 발생합니다. 이 문제는 향상된 분석을 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3762: Evernote Security 팀의 Xiaoyong Wu

  • udf

    대상: OS X Yosemite v10.10~v10.10.4

    영향: 악의적으로 제작된 DMG 파일을 처리할 때 시스템 권한으로 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

    설명: 비정상적인 DMG 파일 분석 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

    CVE-ID

    CVE-2015-3767: grayhash의 beist

OS X Yosemite v10.10.5에는 Safari 8.0.8의 보안 콘텐츠가 포함되어 있습니다.

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능, 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 인터넷을 사용하는 데는 위험이 따르기 마련입니다. 자세한 내용은 공급업체에 문의하십시오. 기타 회사 및 제품 이름은 각 소유자의 상표일 수 있습니다.

게시일: