Safari 8.0.8, Safari 7.1.8 및 Safari 6.2.8의 보안 콘텐츠에 관하여

이 문서에서는 Safari 8.0.8, Safari 7.1.8 및 Safari 6.2.8의 보안 콘텐츠에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대해 자세히 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 대한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대해 알아보려면 Apple 보안 업데이트를 참조하십시오.

Safari 8.0.8, Safari 7.1.8 및 Safari 6.2.8

• Safari 응용 프로그램

  대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 및 OS X Yosemite v10.10.4

  영향: 악의적인 웹 사이트를 방문하면 사용자 인터페이스가 스푸핑될 수 있음

  설명: 악의적인 웹 사이트에서 다른 사이트를 열고 메시지의 출처를 밝히지 않은 채 사용자 입력을 요구하는 메시지가 표시될 수 있습니다. 이 문제는 사용자에게 메시지 출처를 표시하면 해결됩니다.

  CVE-ID

  CVE-2015-3729: VulnHunt.com의 Code Audit Labs

• WebKit

  대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 및 OS X Yosemite v10.10.4

  영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

  설명: WebKit에서 여러 가지 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.

  CVE-ID

  CVE-2015-3730: Apple

  CVE-2015-3731: Apple

  CVE-2015-3732: Apple

  CVE-2015-3733: Apple

  CVE-2015-3734: Apple

  CVE-2015-3735: Apple

  CVE-2015-3736: Apple

  CVE-2015-3737: Apple

  CVE-2015-3738: Apple

  CVE-2015-3739: Apple

  CVE-2015-3740: Apple

  CVE-2015-3741: Apple

  CVE-2015-3742: Apple

  CVE-2015-3743: Apple

  CVE-2015-3744: Apple

  CVE-2015-3745: Apple

  CVE-2015-3746: Apple

  CVE-2015-3747: Apple

  CVE-2015-3748: Apple

  CVE-2015-3749: Apple

• WebKit

  대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 및 OS X Yosemite v10.10.4

  영향: 악의적인 웹 사이트가 HSTS(HTTP Strict Transport Security) 하에서 일반 텍스트 요청을 출처로 트리거할 수 있음

  설명: 콘텐츠 보안 정책 보고 요청이 HSTS(HTTP Strict Transport Security)를 준수하지 않는 문제가 발생합니다. 이 문제는 향상된 HSTS(HTTP Strict Transport Security) 강제 실행을 통해 해결되었습니다.

  CVE-ID

  CVE-2015-3750: Muneaki Nishimura(nishimunea)

• WebKit

  대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 및 OS X Yosemite v10.10.4

  영향: 이미지 로드 시 웹 사이트의 콘텐츠 보안 정책 지침을 위반할 수 있음

  설명: 비디오 컨트롤이 있는 웹 사이트에서 개체 요소가 중첩된 이미지를 로드하여 웹 사이트의 콘텐츠 보안 정책 지침을 위반하는 문제가 발생합니다. 이 문제는 향상된 콘텐츠 보안 정책 강제 실행을 통해 해결되었습니다.

  CVE-ID

  CVE-2015-3751: Muneaki Nishimura(nishimunea)

• WebKit

  대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 및 OS X Yosemite v10.10.4

  영향: 콘텐츠 보안 정책 보고 요청에 쿠키가 누락될 수 있음

  설명: 콘텐츠 보안 정책 보고 요청에 쿠키가 추가되는 방식에 있어 두 가지 문제가 발생합니다. 쿠키가 표준을 위반하고 교차 출처 보고 요청에서 전송되었습니다. 일반적으로 브라우징하는 동안 설정된 쿠키가 개인정보 보호 브라우징에서 전송되었습니다. 이 문제는 향상된 쿠키 처리를 통해 해결되었습니다.

  CVE-ID

  CVE-2015-3752: Muneaki Nishimura(nishimunea)

• WebKit 캔버스

  대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 및 OS X Yosemite v10.10.4

  영향: 악의적인 웹 사이트에서 출처 간 이미지 데이터를 탈취할 수 있음

  설명: data:image 리소스로 리디렉션되는 URL을 통해 가져온 이미지가 출처 간 탈취될 수 있습니다. 이 문제는 향상된 캔버스 오염 추적을 통해 해결되었습니다.

  CVE-ID

  CVE-2015-3753: Adobe의 Antonio Sanso 및 Damien Antipa

• WebKit 페이지 로드

  대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 및 OS X Yosemite v10.10.4

  영향: 캐시된 인증 상태가 개인정보 보호 브라우징 기록에 공개될 수 있음

  설명: HTTP 인증을 캐시할 때 문제가 발생합니다. 개인정보 보호 브라우징 모드에서 입력한 자격 증명이 일반 브라우징으로 전달되어 사용자의 개인정보 보호 브라우징 기록 일부가 공개될 수 있습니다. 이 문제는 향상된 캐싱 제한을 통해 해결되었습니다.

  CVE-ID

  CVE-2015-3754: Dongsung Kim(@kid1ng)

• WebKit 프로세스 모델

  대상: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 및 OS X Yosemite v10.10.4

  영향: 악의적인 웹 사이트를 방문하면 사용자 인터페이스가 스푸핑될 수 있음

  설명: 비정상적인 URL을 탐색하면 악의적인 웹 사이트에서 임의 URL을 표시하도록 허용될 수 있습니다. 이 문제는 향상된 URL 처리를 통해 해결되었습니다.

  CVE-ID

  CVE-2015-3755: Tencent의 Xuanwu Lab의 xisigr