Safari 9의 보안 콘텐츠에 관하여
이 문서에서는 Safari 9의 보안 콘텐츠에 대해 설명합니다.
Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대해 자세히 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.
Apple 제품 보안 PGP 키에 대한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.
가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.
다른 보안 업데이트에 대해 알아보려면 Apple 보안 업데이트를 참조하십시오.
Safari 9
Safari
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 및 OS X El Capitan v10.11
영향: 악성 웹 사이트에 방문하면 사용자 인터페이스 스푸핑이 발생할 수 있음
설명: 여러 개의 사용자 인터페이스 불일치가 악의적인 웹 사이트에 임의 URL이 표시되는 것을 허용할 수 있습니다. 이 문제는 향상된 URL 표시 로직을 통해 해결되었습니다.
CVE-ID
CVE-2015-5764: Adobe의 Antonio Sanso(@asanso)
CVE-2015-5765: Ron Masas
CVE-2015-5767: Secunia의 Krystian Kloskowski, Masato Kinugawa
Safari 다운로드
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 및 OS X El Capitan v10.11
영향: LaunchServices의 격리 기록에 브라우저 방문 기록이 나타날 수 있음
설명: LaunchServices의 격리 기록에 접근하면 파일 다운로드를 기준으로 한 브라우저 방문 기록이 나타날 수 있습니다. 이 문제는 향상된 격리 기록 삭제를 통해 해결되었습니다.
Safari 확장 프로그램
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 및 OS X El Capitan v10.11
영향: Safari 확장 프로그램과 함께 설치된 App 간의 로컬 통신이 위험에 노출될 수 있음
설명: 암호 관리자와 같은 Safari 확장 프로그램과 기본적으로 함께 설치된 App 간의 로컬 통신이 다른 기본 App에 의해 위험에 노출될 수 있습니다. 이 문제는 Safari 확장 프로그램과 함께 설치된 App 사이에 인증된 새 통신 채널을 통해 해결되었습니다.
Safari 확장 프로그램
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 및 OS X El Capitan v10.11
영향: Safari 확장 프로그램이 디스크에서 바뀔 수 있음
설명: 사용자가 설치한 확인된 Safari 확장 프로그램이 사용자에게 메시지를 표시하지 않고 디스크에서 바뀔 수 있습니다. 이 문제는 향상된 확장 프로그램의 유효성 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-5780: macmule.com의 Ben Toms
안전한 Safari 브라우징
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 및 OS X El Capitan v10.11
영향: 알려진 악성 웹 사이트의 IP 주소로 이동해도 보안 경고가 트리거되지 않을 수 있음
설명: IP 주소를 통해 알려진 악성 웹 사이트를 방문해도 Safari의 안전한 브라우징 기능이 사용자에게 경고를 표시하지 않습니다. 이 문제는 향상된 악성 사이트 감지를 통해 해결되었습니다.
TagsDock의 Rahul M(@rahulmfg)
WebKit
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 및 OS X El Capitan v10.11
영향: 부분적으로 로드된 이미지가 출처 간 데이터를 탈취할 수 있음
설명: 이미지 출처 확인 시 경쟁 상태가 발생합니다. 이 문제는 향상된 리소스 출처의 유효성 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-5788: Apple
WebKit
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 및 OS X El Capitan v10.11
영향: 악의적으로 제작된 웹 사이트를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: WebKit에서 여러 가지 메모리 손상 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5791: Apple
CVE-2015-5792: Apple
CVE-2015-5793: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5798: Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5808: Joe Vennix
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5814: Apple
CVE-2015-5815: Apple
CVE-2015-5816: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
CVE-2015-5822: Google의 Mark S. Miller
CVE-2015-5823: Apple
WebKit
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 및 OS X El Capitan v10.11
영향: 공격자가 웹 사이트에 대해 의도하지 않은 쿠키를 생성할 수 있음
설명: WebKit이 document.cookie API에서 여러 개의 쿠키가 설정되는 것을 허용합니다. 이 문제는 향상된 구문 분석을 통해 해결되었습니다.
CVE-ID
CVE-2015-3801: Facebook의 Erling Ellingsen
WebKit
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 및 OS X El Capitan v10.11
영향: Performance API로 인해 악성 웹 사이트에서 브라우징 기록, 네트워크 활동 및 마우스 움직임이 유출될 수 있음
설명: WebKit의 Performance API로 인해 악성 웹 사이트에서 시간이 측정됨으로써 브라우징 기록, 네트워크 활동 및 마우스 움직임이 유출될 수 있습니다. 이 문제는 시간 확인을 제한하여 해결되었습니다.
CVE-ID
CVE-2015-5825: Columbia University, Network Security Lab의 Yossi Oren 외
WebKit
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 및 OS X El Capitan v10.11
영향: 악성 웹 사이트를 방문하는 경우 의도하지 않은 전화가 걸려올 수 있음
설명: tel://, facetime:// 및 facetime-audio:// URL 처리 시 문제가 발생합니다. 이 문제는 향상된 URL 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-5820: Guillaume Ross, Andrei Neculaesei
WebKit CSS
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 및 OS X El Capitan v10.11
영향: 악성 웹 사이트가 출처 간 데이터를 이탈시킬 수 있음
설명: Safari가 출처 간 데이터 이탈에 사용될 수 있는 비 CSS MIME 유형과 함께 출처 간 스타일시트가 로드되는 것을 허용할 수 있습니다. 이 문제는 출처 간 스타일시트에 대한 MIME 유형을 제한하여 해결되었습니다.
CVE-ID
CVE-2015-5826: filedescriptior, Chris Evans
WebKit JavaScript 바인딩
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 및 OS X El Capitan v10.11
영향: 사용자 설정 이벤트, 메시지 이벤트 및 팝업 상태 이벤트의 가려낸 출처 간 객체 참조가 유출될 수 있음
설명: 객체 유출 문제로 인해 출처 간 분리 경계가 손상됩니다. 이 문제는 출처 간 향상된 가려내기를 통해 해결되었습니다.
CVE-ID
CVE-2015-5827: Gildas
WebKit 페이지 로드
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 및 OS X El Capitan v10.11
영향: WebSocket이 혼합 콘텐츠 정책 실행을 건너뛸 수 있음
설명: 부족한 정책 실행 문제로 인해 WebSocket이 혼합 콘텐츠가 로드되는 것을 허용합니다. 이 문제는 혼합 콘텐츠 정책 실행을 WebSocket으로 확장하여 해결되었습니다.
Higher Logic의 Kevin G. Jones
WebKit 플러그인
대상: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 및 OS X El Capitan v10.11
영향: 요청이 리디렉션되는 것을 알리지 않고 Safari 플러그인이 HTTP 요청을 보낼 수 있음
설명: Safari 플러그인 API가 서버 측 리디렉션이 발생한 플러그인과 통신하지 않았습니다. 이로 인해 인증되지 않은 요청이 발생할 수 있습니다. 이 문제는 향상된 API 지원을 통해 해결되었습니다.
CVE-ID
CVE-2015-5828: Lorenzo Fontana
일부 국가 또는 지역에서는 FaceTime을 사용할 수 없습니다.
Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능 및 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 자세한 내용은 해당 업체에 문의하시기 바랍니다.