Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대해 자세히 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.
Apple 제품 보안 PGP 키에 대한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.
가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.
다른 보안 업데이트에 대해 알아보려면 Apple 보안 업데이트를 참조하십시오.
iOS 9
Apple Pay
대상: iPhone 6 및 iPhone 6 Plus
영향: 일부 카드로 결제 시 단말기에서 제한된 최근 거래 정보를 검색할 수 있음
설명: 특정 구성에서 거래 로그 기능이 활성화되어 있었습니다. 이 문제는 거래 로그 기능을 제거하여 해결되었습니다. 이 문제는 iPad 기기에는 영향을 미치지 않습니다.
CVE-ID
CVE-2015-5916
AppleKeyStore
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 공격자가 iOS를 백업하여 암호 시도 실패 횟수를 재설정할 수 있음
설명: iOS 기기를 백업하여 암호 시도 실패 횟수를 재설정할 때 문제가 발생합니다. 이 문제는 개선된 암호 실패 로직을 통해 해결되었습니다.
CVE-ID
CVE-2015-5850: 익명의 연구원
App Store
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 ITMS 링크를 클릭하면 엔터프라이즈 서명 응용 프로그램에서 서비스가 거부될 수 있음
설명: ITMS 링크를 통해 설치할 때 문제가 발생합니다. 이 문제는 추가 설치 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-5856: FireEye, Inc.의 Zhaofeng Chen, Hui Xue 및 Tao(Lenx) Wei
오디오
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 오디오 파일을 재생하면 응용 프로그램이 예기치 않게 종료될 수 있음
설명: 오디오 파일을 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5862: 대한민국 서울 연세대학교 Information Security Lab의 윤영진(자문:권태경 교수)
인증 신뢰 정책
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 인증서 신뢰 정책 업데이트
설명: 인증 신뢰 정책이 업데이트되었습니다. 인증서의 전체 목록은 https://support.apple.com/ko-kr/HT204132에서 확인할 수 있습니다.
CFNetwork
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 URL이 HSTS(HTTP Strict Transport Security)를 우회하여 민감한 데이터가 유출될 수 있음
설명: HSTS 처리 시 URL 분석 취약점이 발생합니다. 이 문제는 향상된 URL 분석을 통해 해결되었습니다.
CVE-ID
CVE-2015-5858: Tsinghua 대학교 Blue Lotus 팀의 Xiaofeng Zheng
CFNetwork
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: Safari 개인정보 보호 브라우징 모드에 있을 때 악성 웹 사이트에서 사용자를 추적할 수 있음
설명: Safari 개인정보 보호 브라우징 모드에서 HSTS 상태를 처리할 때 문제가 발생합니다. 이 문제는 향상된 상태 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5860: RadicalResearch Ltd의 Sam Greenhalgh
CFNetwork
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: iOS 기기에 물리적으로 접근할 수 있는 사람이 Apple 앱에서 캐시 데이터를 읽을 수 있음
설명: 캐시 데이터는 하드웨어 UID로만 보호되는 키를 사용하여 암호화되었습니다. 이 문제는 하드웨어 UID 및 사용자 암호로 보호되는 키로 캐시 데이터를 암호화하여 해결되었습니다.
CVE-ID
CVE-2015-5898: NESO Security Labs의 Andreas Kurtz
CFNetwork 쿠키
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 네트워크에서 권한 있는 위치에 있는 공격자가 사용자의 활동을 추적할 수 있음
설명: 최상위 도메인을 처리할 때 도메인 간 쿠키 문제가 발생합니다. 이 문제는 개선된 쿠키 생성 제한 사항을 통해 해결되었습니다.
CVE-ID
CVE-2015-5885: Tsinghua 대학교 Blue Lotus 팀의 Xiaofeng Zheng
CFNetwork 쿠키
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 공격자가 웹 사이트에 대해 의도하지 않은 쿠키를 생성할 수 있음
설명: WebKit에서 document.cookie API에 설정될 여러 쿠키를 승인합니다. 이 문제는 향상된 구문 분석을 통해 해결되었습니다.
CVE-ID
CVE-2015-3801: Facebook의 Erling Ellingsen
CFNetwork FTPProtocol
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 FTP 서버에서 클라이언트가 다른 호스트를 엿볼 수 있음
설명: PASV 명령 사용 시 FTP 패킷을 처리할 때 문제가 발생합니다. 이 문제는 향상된 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-5912: Amit Klein
CFNetwork HTTPProtocol
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 네트워크에서 권한 있는 위치에 있는 공격자가 네트워크 트래픽을 가로챌 수 있음
설명: Safari 개인정보 보호 브라우징 모드에서 HSTS 미리 로드 목록 항목을 처리할 때 문제가 발생합니다. 이 문제는 향상된 상태 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5859: University of Luxembourg의 Rosario Giustolisi
CFNetwork Proxies
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 웹 프록시에 연결하면 웹 사이트에 대해 악성 쿠키가 설정될 수 있음
설명: 프록시 연결 응답을 처리할 때 문제가 발생합니다. 이 문제는 연결 응답의 구문을 분석하는 동안 set-cookie 헤더를 제거하여 해결되었습니다.
CVE-ID
CVE-2015-5841: Tsinghua 대학교 Blue Lotus 팀의 Xiaofeng Zheng
CFNetwork SSL
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 네트워크에서 권한 있는 위치에 있는 공격자가 SSL/TLS 연결을 가로챌 수 있음
설명: 인증서 변경 시 NSURL에서 인증서 유효성 확인 문제가 발생합니다. 이 문제는 향상된 인증서 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-5824: Omni 그룹의 Timothy J. Wood
CFNetwork SSL
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 공격자가 SSL로 보호되는 데이터의 암호를 해제할 수 있습니다.
설명: RC4 기밀에 대해 알려진 공격이 있습니다. 서버가 더 강력한 암호를 선호하더라도 CFNetwork가 RC4만 허용하는 SSL 3.0을 사용할 때까지 공격자가 TLS 1.0 이상의 연결을 차단하여 RC4를 강제로 사용하게 할 수 있습니다. 이 문제는 SSL 3.0에 대한 폴백을 제거하여 해결되었습니다.
CoreAnimation
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 응용 프로그램이 중요한 사용자 정보를 유출할 수 있음
설명: 응용 프로그램이 백그라운드에서 실행되는 동안 화면 프레임 버퍼에 접근할 수 있습니다. 이 문제는 IOSurfaces에 대한 개선된 접근 제어를 통해 해결되었습니다.
CVE-ID
CVE-2015-5880: School of Information Systems Singapore Management University의 Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li와 Cryptography and Security Department Institute for Infocomm Research의 Feng Bao 및 Jianying Zhou
CoreCrypto
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 공격자가 비공개 키를 확인할 수 있음
설명: 공격자가 여러 번의 서명 또는 암호화 시도를 관찰하여 RSA 비공개 키를 확인할 수 있습니다. 이 문제는 개선된 암호화 알고리즘을 사용하여 해결되었습니다.
CoreText
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 서체 파일을 처리하면 임의 코드가 실행될 수 있음
설명: 서체 파일을 처리할 때 메모리 손상 문제가 발생합니다. 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-5874: John Villamil(@day6reak), Yahoo Pentest 팀
데이터 탐색기 엔진
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 텍스트 파일을 처리하면 임의 코드가 실행될 수 있음
설명: 텍스트 파일 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-5829: Safeye 팀(www.safeye.org)의 M1x7e1
개발 도구
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: dyld에서 메모리 손상 문제가 발생합니다. 이는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5876: grayhash의 beist
디스크 이미지
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: DiskImages에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 응용 프로그램에서 코드 서명이 우회될 수 있음
설명: 실행 파일의 코드 서명 유효성 확인 시 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-5839: @PanguTeam, TaiG Jailbreak 팀
Game Center
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 Game Center 응용 프로그램이 플레이어의 이메일 주소에 접근할 수 있음설명: 플레이어의 이메일 처리 시 Game Center에서 문제가 발생합니다. 이 문제는 향상된 접근 제한을 통해 해결되었습니다.
CVE-ID
CVE-2015-5855: Nasser Alnasser
ICU
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: ICU의 여러 가지 취약점
설명: ICU 53.1.0 이전 버전에 여러 취약점이 있습니다. 이러한 문제는 ICU를 55.1 버전으로 업데이트하여 해결되었습니다.
CVE-ID
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Google Project Zero의 Mark Brand
IOAcceleratorFamily
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 응용 프로그램에게 커널 메모리 레이아웃이 노출될 수 있음
설명: 커널 메모리 콘텐츠가 공개되는 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-5834: Alibaba Mobile 보안 팀의 Cererdlong
IOAcceleratorFamily
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOAcceleratorFamily에서 메모리 손상 문제가 발생했으나 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOHIDFamily
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOHIDFamily에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5867: Trend Micro의 moony li
IOKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: 커널에서 메모리 손상 문제가 발생했으나 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 사용자가 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: IOMobileFrameBuffer에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 공격자가 커널 메모리를 읽을 수 있음
설명: 커널에서 메모리 초기화 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5863: IOActive의 Ilja van Sprundel
iTunes Store
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로그아웃한 후에도 키체인에 Apple ID 자격 증명이 계속 남아 있을 수 있음
설명: 키체인 삭제 시 문제가 발생합니다. 이 문제는 향상된 계정 정리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5832: Check Point Software Technologies의 Kasif Dekel
JavaScriptCore
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 임의 코드가 실행될 수 있음
설명: WebKit에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5791: Apple
CVE-2015-5793: Apple
CVE-2015-5814: Apple
CVE-2015-5816: Apple
CVE-2015-5822: Google의 Mark S. Miller
CVE-2015-5823: Apple
커널
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 사용자가 커널 권한을 사용하여 임의 코드를 실행할 수 있음
설명: 커널에서 메모리 손상 문제가 발생했으나 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5868: Alibaba Mobile 보안 팀의 Cererdlong
CVE-2015-5896: m00nbsd의 Maxime Villard
CVE-2015-5903: CESG
2016년 12월 21일에 업데이트된 항목
커널
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 공격자가 스택 쿠키의 값을 제어할 수 있음
설명: 사용자 공간 스택 쿠키 생성 시 여러 가지 취약점이 발생합니다. 이 문제는 향상된 스택 쿠키 생성을 통해 해결되었습니다.
CVE-ID
CVE-2013-3951: Stefan Esser
커널
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 프로세스에서 자격을 확인하지 않고 다른 프로세스를 수정할 수 있음
설명: processor_set_tasks API를 사용하는 루트 프로세스에서 다른 프로세스의 작업 포트를 검색할 수 있는 문제가 발생합니다. 이 문제는 추가된 자격 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-5882: Ming-chieh Pan 및 Sung-ting Tsai의 독창적인 연구에 참여 중인 Pedro Vilaça, Jonathan Levin
커널
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 올바른 시퀀스 번호를 모르는 공격자가 대상 TCP 연결에 대한 서비스 거부 공격을 실행할 수 있음
설명: xnu에서 TCP 패킷 헤더의 유효성을 확인할 때 문제가 발생합니다. 이 문제는 TCP 패킷 헤더에 대한 향상된 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-5879: Jonathan Looney
커널
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 LAN 세그먼트의 공격자가 IPv6 라우팅을 비활성화할 수 있음
설명: IPv6 라우터 통지 처리 시 충분한 유효성 확인이 수행되지 않아 공격자가 임의의 값에 홉 제한을 설정할 수 있는 문제가 발생합니다. 이 문제는 최소 홉 제한을 강제로 적용하여 해결되었습니다.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
커널
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 사용자가 커널 메모리 레이아웃을 확인할 수 있음
설명: XNU에 커널 메모리가 공개되는 문제가 발생합니다. 이 문제는 커널 메모리 구조의 향상된 초기화를 통해 해결되었습니다.
CVE-ID
CVE-2015-5842: grayhash의 beist
커널
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 사용자가 시스템 서비스 거부를 야기할 수 있음
설명: HFS 드라이브를 마운트할 때 문제가 발생합니다. 이 문제는 추가 유효성 확인 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-5748: m00nbsd의 Maxime Villard
libc
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 원격 공격자가 임의 코드를 실행할 수 있음
설명: fflush 함수에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2014-8611: Norse Corporation의 Adrian Chadd 및 Alfred Perlstein
libpthread
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 사용자가 커널 권한을 사용하여 임의 코드를 실행할 수 있음
설명: 커널에서 메모리 손상 문제가 발생했으나 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5899: Qihoo 360 Vulcan 팀의 Lufeng Li
Mail
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 공격자가 받는 사람의 주소록에 있는 연락처로부터 발송된 것으로 보이는 이메일을 전송할 수 있음
설명: 보낸 사람의 주소를 처리할 때 문제가 발생합니다. 이 문제는 향상된 유효성 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-5857: salesforce.com의 Emre Saglam
멀티피어 연결
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 공격자가 보호되지 않는 멀티피어 데이터를 관찰할 수 있음
설명: 편의 초기화 처리 시 암호화가 암호화되지 않는 세션으로 능동적으로 다운그레이드될 수 있는 문제가 발생합니다. 이 문제는 암호화를 요구하도록 편의 초기화를 변경하여 해결되었습니다.
CVE-ID
CVE-2015-5851: Data Theorem의 Alban Diquet(@nabla_c0d3)
NetworkExtension
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 응용 프로그램에게 커널 메모리 레이아웃이 노출될 수 있음
설명: 커널 메모리 콘텐츠 공개로 인해 커널에서 메모리가 초기화되지 않는 문제가 발생합니다. 이 문제는 메모리 초기화를 통해 해결되었습니다.
CVE-ID
CVE-2015-5831: m00nbsd의 Maxime Villard
OpenSSL
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: OpenSSL에서 여러 가지 취약성이 발생함
설명: OpenSSL 0.9.8zg 이전 버전에서 여러 취약점이 발생합니다. 이는 OpenSSL을 버전 0.9.8zg로 업데이트하여 해결되었습니다.
CVE-ID
CVE-2015-0286
CVE-2015-0287
PluginKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 엔터프라이즈 응용 프로그램이 신뢰되기 전에 해당 응용 프로그램에서 확장 프로그램을 설치할 수 있음
설명: 설치 중 확장 프로그램의 유효성을 확인할 때 문제가 발생합니다. 이 문제는 향상된 앱 확인을 통해 해결되었습니다.
CVE-ID
CVE-2015-5837: FireEye, Inc.의 Zhaofeng Chen, Hui Xue 및 Tao(Lenx) Wei
removefile
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 데이터를 처리하면 응용 프로그램이 예기치 않게 종료될 수 있음
설명: checkint 분할 루틴에서 오버플로우 오류가 발생합니다. 이 문제는 향상된 분할 루틴을 통해 해결되었습니다.
CVE-ID
CVE-2015-5840: 익명의 연구원
Safari
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 로컬 사용자가 암호를 몰라도 잠겨 있는 iOS 기기에서 Safari 책갈피를 읽을 수 있음
설명: Safari 책갈피 데이터는 하드웨어 UID로만 보호되는 키를 사용하여 암호화되었습니다. 이 문제는 하드웨어 UID 및 사용자 암호로 보호되는 키로 Safari 책갈피 데이터를 암호화하여 해결되었습니다.
CVE-ID
CVE-2015-7118: Jonathan Zdziarski
2016년 12월 21일에 업데이트된 항목
Safari
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적인 웹 사이트를 방문하면 사용자 인터페이스 스푸핑이 발생할 수 있음
설명: 이 문제로 인해 웹 사이트에서 다른 웹 사이트의 URL을 사용하여 콘텐츠를 표시할 수 있습니다. 이 문제는 향상된 URL 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5904: Facebook의 Erling Ellingsen, Łukasz Pilorz
Safari
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적인 웹 사이트를 방문하면 사용자 인터페이스 스푸핑이 발생할 수 있음
설명: 형식이 잘못된 window opener를 사용하는 악성 웹 사이트로 이동하면 임의 URL이 표시될 수 있습니다. 이 문제는 향상된 window opener 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5905: keitahaga.com의 Keita Haga
Safari
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 클라이언트 인증서를 사용하는 악성 웹 사이트에 의해 사용자가 추적될 수 있음
설명: Safari에서 SSL 인증을 위해 클라이언트 인증서를 일치시키는 작업이 수행될 때 문제가 발생합니다. 이 문제는 유효한 클라이언트 인증서의 향상된 일치 기능을 통해 해결되었습니다.
CVE-ID
CVE-2015-1129: fluid Operations AG의 Stefan Kraus, Whatever s.a.의 Sylvain Munaut
Safari
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적인 웹 사이트를 방문하면 사용자 인터페이스 스푸핑이 발생할 수 있음
설명: 여러 사용자 인터페이스 불일치로 인해 악성 웹 사이트에서 임의 URL을 표시할 수 있습니다. 이 문제는 향상된 URL 표시 로직을 통해 해결되었습니다.
CVE-ID
CVE-2015-5764: Adobe의 Antonio Sanso(@asanso)CVE-2015-5765: Ron Masas
CVE-2015-5767: Secunia를 통한 Krystian Kloskowski, Masato Kinugawa
Safari 안전 브라우징
iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 알려진 악성 웹 사이트의 IP 주소로 이동해도 보안 경고가 실행되지 않을 수 있음
설명: IP 주소를 통해 알려진 악성 웹 사이트를 방문해도 Safari의 안전 브라우징 기능이 사용자에게 경고를 표시하지 않습니다. 이 문제는 향상된 악성 사이트 감지를 통해 해결되었습니다.
TagsDock의 Rahul M
보안
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 앱이 앱 간 통신을 가로챌 수 있음
설명: 악성 앱이 앱 간 URL 체계 통신을 가로챌 수 있는 문제가 발생합니다. 이 문제는 URL 체계가 처음으로 사용될 때 대화상자를 표시하여 완화되었습니다.
CVE-ID
CVE-2015-5835: FiftyTwoDegreesNorth B.V.의 Teun van Run, Indiana University의 XiaoFeng Wang, Indiana University의 Luyi Xing, Peking University의 Tongxin Li, Tsinghua University의 Xiaolong Bai
Siri
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: iOS 기기에 물리적으로 접근할 수 있는 사람이 Siri를 사용하여 잠금 화면에서는 표시되지 않도록 설정된 콘텐츠 알림을 읽을 수 있음
설명: Siri에게 요청하면 서버에서 클라이언트 측 제한을 확인하지 않습니다. 이 문제는 제한 확인 개선을 통해 해결되었습니다.
CVE-ID
CVE-2015-5892: Robert S Mozayeni, Joshua Donvito
SpringBoard
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 잠금 화면의 메시지 미리보기가 비활성화되어 있어도 iOS 기기에 물리적으로 접근할 수 있는 사람이 잠금 화면에서 오디오 메시지에 회신할 수 있음
설명: 메시지 미리보기가 비활성화되어 있어도 잠금 화면 문제로 인해 사용자가 오디오 메시지에 회신할 수 있습니다. 이 문제는 향상된 상태 관리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5861: Meridian Apps의 Daniel Miedema
SpringBoard
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 응용 프로그램이 다른 응용 프로그램의 대화상자 윈도우를 스푸핑할 수 있음
설명: 권한 있는 API 호출과 관련된 접근 문제가 발생했으나 이 문제는 추가 제한 사항을 통해 해결되었습니다.
CVE-ID
CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui
SQLite
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: SQLite 버전 3.8.5에 여러 가지 취약점이 있음
설명: SQLite 버전 3.8.5에 여러 가지 취약점이 존재합니다. 이러한 문제는 SQLite를 버전 3.8.10.2로 업데이트하여 해결되었습니다.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 임의 코드가 실행될 수 있음
설명: Tidy에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5522: NULLGroup.com의 Fernando Muñoz
CVE-2015-5523: NULLGroup.com의 Fernando Muñoz
WebKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 사용자 설정 이벤트, 메시지 이벤트 및 POP 상태 이벤트 발생 시 분리된 원본 간에 객체 참조가 유출될 수 있음
설명: 객체 유출 문제로 인해 원본 간 분리 경계가 손상됩니다. 이 문제는 원본 간 향상된 분리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5827: Gildas
WebKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 임의 코드가 실행될 수 있음
설명: WebKit에서 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5792: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
WebKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악성 웹 사이트를 방문하면 의도치 않은 다이얼링이 발생할 수 있음
설명: tel://, facetime:// 및 facetime-audio:// URL 처리 시 문제가 발생합니다. 이 문제는 향상된 URL 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5820: Andrei Neculaesei, Guillaume Ross
WebKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 작성된 웹 양식에 포함되어 있는 암호의 마지막 문자를 QuickType에서 기억할 수 있음
설명: WebKit에서 암호 입력 컨텍스트를 처리할 때 문제가 발생합니다. 이 문제는 향상된 입력 컨텍스트 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5906: Google Inc.의 Louis Romero
WebKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 네트워크에서 권한 있는 위치에 있는 공격자가 악성 도메인으로 리디렉션될 수 있음
설명: 잘못된 인증서를 사용하는 사이트에서 리소스 캐시를 처리할 때 문제가 발생합니다. 이 문제는 잘못된 인증서를 사용하는 도메인의 응용 프로그램 캐시를 거부하여 해결되었습니다.
CVE-ID
CVE-2015-5907: NUS(National University of Singapore)의 Yaoqi Jia
WebKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적인 웹 사이트가 출처 간 데이터를 유출시킬 수 있음
설명: Safari에서 출처 간 데이터 이탈에 사용될 수 있는 비 CSS MIME 유형을 가진 출처 간 스타일시트가 로드될 수 있습니다. 이 문제는 출처 간 스타일시트의 MIME 유형을 제한하여 해결되었습니다.
CVE-ID
CVE-2015-5826: filedescriptor, Chris Evans
WebKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: Performance API로 인해 악성 웹 사이트에서 브라우징 기록, 네트워크 활동 및 마우스 움직임이 유출될 수 있음
설명: WebKit의 Performance API로 인해 악성 웹 사이트에서 시간이 측정됨으로써 브라우징 기록, 네트워크 활동 및 마우스 움직임이 유출될 수 있습니다. 이 문제는 시간 확인을 제한하여 해결되었습니다.
CVE-ID
CVE-2015-5825: Columbia University의 Network Security Lab에 소속된 Yossi Oren 등
WebKit
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 네트워크에서 권한 있는 위치에 있는 공격자가 중요한 사용자 정보를 유출할 수 있음
설명: 첨부 파일 유형이 포함된 Content-Disposition 헤더와 관련된 문제가 발생합니다. 이 문제는 첨부 파일 유형 페이지의 일부 기능을 비활성화함으로써 해결되었습니다.
CVE-ID
CVE-2015-5921: Intel(r) Advanced Threat Research 팀의 Mickey Shkatov, Singapore Management University의 Daoyuan Wu, Hong Kong Polytechnic University의 Rocky K. C. Chang, Łukasz Pilorz, www.knownsec.com의 superhei
WebKit 캔버스
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: 악의적인 웹 사이트를 방문하면 다른 웹 사이트의 이미지 데이터가 공개될 수 있음
설명: WebKit의 'canvas' 요소 이미지와 관련된 출처 간 문제가 발생합니다. 이 문제는 향상된 보안 출처 추적을 통해 해결되었습니다.
CVE-ID
CVE-2015-5788: Apple
WebKit 페이지 로드
대상: iPhone 4s 및 이후 모델, iPod touch (5th generation) 및 이후 모델, iPad 2 및 이후 모델
영향: WebSocket이 혼합 콘텐츠 정책 실행을 우회할 수 있음
설명: 정책이 충분하게 실행되지 않는 문제로 인해 WebSocket이 혼합 콘텐츠를 로드할 수 있습니다. 이 문제는 혼합 콘텐츠 정책 실행을 WebSocket으로 확장하여 해결되었습니다.
Higher Logic의 Kevin G. Jones
일부 국가 또는 지역에서는 FaceTime을 사용할 수 없습니다.