iOS 10.2의 보안 콘텐츠에 관하여

이 문서에서는 iOS 10.2의 보안 콘텐츠에 대해 설명합니다.

Apple 보안 업데이트에 관하여

Apple은 고객 보호를 위해 보안 문제에 관한 조사를 마치고 패치 또는 출시 버전을 제공할 때까지 관련 내용을 공개하거나, 논의하거나, 확인하지 않습니다. 최신 출시 버전은 Apple 보안 업데이트 페이지에 나와 있습니다.

보안에 관한 자세한 내용은 Apple 제품 보안 페이지를 참조하십시오. Apple 제품 보안 PGP 키를 사용하여 Apple과의 통신을 암호화할 수 있습니다.

Apple 보안 문서에서는 가능한 경우 취약점을 CVE-ID로 표시합니다.

iOS 10.2

2016년 12월 12일 출시

손쉬운 사용

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 근처에 있는 사용자가 암호를 엿들을 수 있음

설명: 암호를 처리할 때 노출 문제가 발생했으나 이 문제는 암호 말하기를 비활성화하여 해결되었습니다.

CVE-2016-7634: Davut Hari, Biren V. Soni, Cameron Lee

2017년 1월 10일에 업데이트된 항목

손쉬운 사용

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: iOS 기기에 물리적으로 접근할 수 있는 사람이 잠금 화면에서 사진과 연락처에 접근할 수도 있음

설명: 잠금 화면 문제로 인해 잠겨 있는 기기에서 사진과 연락처에 접근할 수 있었으나 이 문제는 잠겨 있는 기기에서 제공되는 옵션을 제한하여 해결되었습니다.

CVE-2016-7664: iDeviceHelp의 Miguel Alvarado

계정

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 앱 제거 시 인증 설정을 재설정하지 않는 문제가 발생함

설명: 이 문제는 향상된 삭제 기능을 통해 해결되었습니다.

CVE-2016-7651: Trend Micro의 Ju Zhu 및 Lilang Wu

오디오

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 파일을 처리하면 임의 코드가 실행될 수 있음

설명: 메모리 손상 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2016-7658: Tencent Keen Lab(@keen_lab)의 Haohao Kong

CVE-2016-7659: Tencent Keen Lab(@keen_lab)의 Haohao Kong

2016년 12월 13일에 추가된 항목

클립보드

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 로컬 공격자가 클립보드 콘텐츠에 접근할 수 있음 

설명: 기기가 잠금 해제되기 전에 클립보드 콘텐츠에 접근할 수 있었으나 이 문제는 향상된 상태 관리를 통해 해결되었습니다. 

CVE-2016-7765: CongRong(@Tr3jer)

2017년 1월 17일에 업데이트된 항목

CoreFoundation

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적인 문자열을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

설명: 문자열을 처리할 때 메모리 손상 문제가 발생했으나 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

CVE-2016-7663: 익명의 연구원

2016년 12월 13일에 추가된 항목

CoreGraphics

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 서체 파일을 처리하면 응용 프로그램이 예기치 않게 종료될 수 있음

설명: null 포인터 역참조는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM

2016년 12월 13일에 추가된 항목

CoreMedia 외장 디스플레이

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 로컬 응용 프로그램이 mediaserver 데몬 환경에서 임의 코드를 실행할 수 있음

설명: 유형 혼동 문제는 향상된 메모리 처리를 통해 해결되었습니다.

CVE-2016-7655: Trend Micro의 Zero Day Initiative에 참여 중인 Keen Lab

2016년 12월 13일에 추가된 항목

CoreMedia 재생

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 .mp4 파일을 처리하면 임의 코드가 실행될 수 있음

설명: 메모리 손상 문제는 향상된 메모리 처리를 통해 해결되었습니다.

CVE-2016-7588: Huawei 2012 Laboratories의 dragonltx

2016년 12월 13일에 추가된 항목

CoreText

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 서체 파일을 처리하면 임의 코드가 실행될 수 있음

설명: 서체 파일을 처리할 때 여러 가지 메모리 손상 문제가 발생했으나 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

CVE-2016-7595: Tencent Security Platform 부서의 riusksk(泉哥)

2016년 12월 13일에 추가된 항목

CoreText

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 문자열을 처리하면 서비스 거부가 발생할 수 있음

설명: 겹치는 범위를 렌더링할 때 발생하는 문제는 향상된 유효성 확인을 통해 해결되었습니다.

CVE-2016-7667: Nasser Al-Hadhrami(@fast_hack), Digital Unit(dgunit.com)의 Saif Al-Hinai(welcom_there)

2016년 12월 15일에 추가된 항목

디스크 이미지

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 응용 프로그램이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 메모리 손상 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2016-7616: Trend Micro의 Zero Day Initiative에 참여 중인 daybreaker@Minionz

2016년 12월 13일에 추가된 항목

나의 iPhone 찾기

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 잠금이 해제된 기기를 사용 중인 공격자가 나의 iPhone 찾기를 비활성화할 수 있음

설명: 인증 정보를 처리할 때 상태 관리 문제가 발생했으나  이 문제는 향상된 계정 정보 저장 공간을 통해 해결되었습니다.

CVE-2016-7638: 익명의 연구원, Sezer Sakiner

FontParser

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 서체 파일을 처리하면 임의 코드가 실행될 수 있음

설명: 서체 파일을 처리할 때 여러 가지 메모리 손상 문제가 발생했으나 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

CVE-2016-4691: Tencent Security Platform 부서의 riusksk(泉哥)

2016년 12월 13일에 추가된 항목

그래픽 드라이버

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 비디오를 감상하면 서비스 거부가 발생할 수 있음

설명: 비디오를 처리할 때 서비스 거부 문제가 발생했으나 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2016-7665: Schlumberger의 Moataz El Gaml, watson.ch의 Daniel Schurter, scip AG의 Marc Ruef

2016년 12월 15일에 업데이트된 항목

ICU

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 임의 코드가 실행될 수 있음

설명: 메모리 손상 문제는 향상된 메모리 처리를 통해 해결되었습니다.

CVE-2016-7594: André Bargull

2016년 12월 13일에 추가된 항목

이미지 캡처

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악성 HID 기기에서 임의 코드가 실행될 수 있음

설명: USB 이미지 기기를 처리할 때 유효성 확인 문제가 발생했으나 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2016-4690: NCC Group의 Andy Davis

ImageIO

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 원격 공격자가 메모리를 유출할 수 있음

설명: 범위를 벗어난 읽기는 향상된 범위 검사를 통해 해결되었습니다.

CVE-2016-7643: Qihoo360 Qex 팀의 Yangkang(@dnpushme)

2016년 12월 13일에 추가된 항목

IOHIDFamily

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 시스템 권한을 가진 로컬 응용 프로그램이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: use-after-free 문제는 향상된 메모리 관리를 통해 해결되었습니다.

CVE-2016-7591: Minionz의 daybreaker

2016년 12월 13일에 추가된 항목

IOKit

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 응용 프로그램에서 커널 메모리를 읽을 수 있음

설명: 메모리 손상 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2016-7657: Trend Micro의 Zero Day Initiative에 참여 중인 Keen Lab

2016년 12월 13일에 추가된 항목

IOKit

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 로컬 사용자가 커널 메모리 레이아웃을 확인할 수 있음

설명: 공유 메모리 문제는 향상된 메모리 처리를 통해 해결되었습니다.

CVE-2016-7714: Trend Micro의 Zero Day Initiative에 참여 중인 Keen Lab의 Qidan He(@flanker_hqd)

2017년 1월 25일에 추가된 항목

JavaScriptCore

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: JavaScript 샌드 박스에서 실행하는 스크립트가 해당 샌드박스 외부 상태에 접근할 수 있음

설명: JavaScript를 처리하는 중에 유효성 확인 문제가 발생했으나 이 문제는 향상된 유효성 확인을 통해 해결되었습니다.

CVE-2016-4695: Google의 Mark S. Miller

2017년 8월 16일에 추가된 항목

커널

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 응용 프로그램이 커널 권한을 사용하여 임의 코드를 실행할 수 있음 

설명: 여러 가지 메모리 손상 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2016-7606: Topsec Alpha 팀(topsec.com)의 @cocoahuke, Chen Qin

CVE-2016-7612: Google Project Zero의 Ian Beer

2016년 12월 13일에 추가된 항목

커널

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 응용 프로그램에서 커널 메모리를 읽을 수 있음

설명: 불충분한 초기화 문제는 사용자 공간에 반환된 메모리를 적절히 초기화하여 해결되었습니다.

CVE-2016-7607: Brandon Azad

2016년 12월 13일에 추가된 항목

커널

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 로컬 사용자가 시스템 서비스 거부를 야기할 수 있음

설명: 서비스 거부 문제는 향상된 메모리 처리를 통해 해결되었습니다.

CVE-2016-7615: 영국의 NCSC(National Cyber Security Centre)

2016년 12월 13일에 추가된 항목

커널

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 로컬 사용자가 예기치 않게 시스템을 종료하거나 커널에서 임의 코드를 실행할 수 있음

설명: use-after-free 문제는 향상된 메모리 관리를 통해 해결되었습니다.

CVE-2016-7621: Google Project Zero의 Ian Beer

2016년 12월 13일에 추가된 항목

커널

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 로컬 사용자가 루트 권한을 얻을 수 있음

설명: 메모리 손상 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2016-7637: Google Project Zero의 Ian Beer

2016년 12월 13일에 추가된 항목

커널

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 시스템 권한을 가진 로컬 응용 프로그램이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: use-after-free 문제는 향상된 메모리 관리를 통해 해결되었습니다.

CVE-2016-7644: Google Project Zero의 Ian Beer

2016년 12월 13일에 추가된 항목

커널

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 응용 프로그램이 서비스 거부를 야기할 수 있음

설명: 서비스 거부 문제는 향상된 메모리 처리를 통해 해결되었습니다.

CVE-2016-7647: Qihoo 360 Vulcan 팀의 Lufeng Li

2017년 5월 17일에 추가된 항목

커널

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악성 응용 프로그램에서 기기의 MAC 주소에 접근할 수 있음

설명: 접근 문제는 타사 응용 프로그램에 대한 추가적인 샌드 박스 제한을 통해 해결되었습니다.

CVE-2016-7766: Tencent WeiXin Group의 Jun Yang(杨君)

2017년 5월 31일에 추가된 항목

libarchive

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 로컬 공격자가 기존 파일을 덮어쓸 수 있음

설명: symlink 처리 시 유효성 확인 문제가 발생했으나 이 문제는 symlink에 대한 향상된 유효성 확인을 통해 해결되었습니다.

CVE-2016-7619: 익명의 연구원

2016년 12월 13일에 추가된 항목

로컬 인증

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 대기 시간이 초과된 후에 기기의 화면이 잠기지 않을 수 있음

설명: Touch ID 메시지가 나타날 때 대기 타이머를 처리하는 데 로직 문제가 발생했으나 이 문제는 향상된 대기 타이머 처리를 통해 해결되었습니다.

CVE-2016-7601: 익명의 연구원

Mail

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 해지된 인증서로 서명된 이메일이 유효한 것으로 나타날 수 있음

설명: S/MIME 정책이 인증서의 유효성 여부를 확인하지 못했으나  이 문제는 해지된 인증서로 이메일이 서명된 경우 사용자에게 알림으로써 해결되었습니다.

CVE-2016-4689: 익명의 연구원

미디어 플레이어

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 사용자가 잠금 화면에서 사진 및 연락처를 볼 수 있음

설명: 미디어 선택을 처리할 때 유효성 확인 문제가 발생했으나 이 문제는 향상된 유효성 확인을 통해 해결되었습니다.

CVE-2016-7653

전원 관리

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 로컬 사용자가 루트 권한을 얻을 수 있음

설명: mach 포트 이름 참조 문제는 향상된 유효성 확인을 통해 해결되었습니다.

CVE-2016-7661: Google Project Zero의 Ian Beer

2016년 12월 13일에 추가된 항목

프로파일

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 인증서를 열면 임의 코드가 실행될 수 있음

설명: 인증서 프로파일을 처리할 때 메모리 손상 문제가 발생했으나 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2016-7626: Maksymilian Arciemowicz(cxsecurity.com)

Safari 읽기 도구

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 웹 페이지에 Safari 읽기 도구 기능을 활성화하면 범용 크로스 사이트 스크립팅이 실행될 수 있음

설명: 여러 가지 유효성 확인 문제는 향상된 입력 삭제를 통해 해결되었습니다.

CVE-2016-7650: Erling Ellingsen

2016년 12월 13일에 추가된 항목

보안

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 공격자가 3DES 암호화 알고리즘의 취약점을 악용할 수 있음

설명: 3DES가 기본 암호에서 삭제되었습니다.

CVE-2016-4693: INRIA Paris의 Gaëtan Leurent 및 Karthikeyan Bhargavan

2016년 12월 13일에 추가된 항목

보안

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 네트워크에서 권한 있는 위치에 있는 공격자가 서비스 거부를 야기할 수 있음

설명: OCSP 응답자 URL을 처리할 때 유효성 확인 문제가 발생했으나 이 문제는 CA 유효성 확인 이후의 OCSP 해지 상태를 확인하고 인증서별 OCSP 요청 수를 제한하여 해결되었습니다.

CVE-2016-7636: Maksymilian Arciemowicz(CXSECURITY.COM)

2016년 12월 13일에 추가된 항목

보안

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 인증서가 예기치 않게 신뢰할 수 있는 인증서로 평가될 수 있음

설명: 인증서를 검증할 때 인증서 유효성 확인 문제가 발생했으나 이 문제는 인증서에 대한 추가 유효성 확인을 통해 해결되었습니다.

CVE-2016-7662: Apple

2016년 12월 13일에 추가된 항목

SpringBoard

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: iOS 기기에 대한 물리적 접근 권한을 가진 사용자가 기기의 잠금을 해제할 수 있음

설명: 암호를 재설정할 때 암호 입력 시도를 처리하는 데 카운터 문제가 발생하는 경우가 있었으나 이 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2016-4781: 익명의 연구원

SpringBoard

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: iOS 기기에 대한 물리적 접근 권한을 가진 사용자가 기기를 잠금 해제된 상태로 유지할 수 있음

설명: Siri로 Handoff를 처리할 때 정리 문제가 발생했으나  이 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2016-7597: 익명의 연구원

syslog

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 로컬 사용자가 루트 권한을 얻을 수 있음

설명: mach 포트 이름 참조 문제는 향상된 유효성 확인을 통해 해결되었습니다.

CVE-2016-7660: Google Project Zero의 Ian Beer

2016년 12월 13일에 추가된 항목

WebKit

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 임의 코드가 실행될 수 있음

설명: 여러 가지 메모리 손상 문제는 향상된 메모리 처리를 통해 해결되었습니다.

CVE-2016-4692: Apple

CVE-2016-7635: Apple

CVE-2016-7652: Apple

2016년 12월 13일에 추가된 항목

WebKit

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 프로세스 메모리가 공개될 수 있음

설명: 메모리 손상 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2016-4743: Alan Cutter

2016년 12월 13일에 추가된 항목

WebKit

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 사용자 정보가 공개될 수 있음

설명: 유효성 확인 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2016-7586: Boris Zbarsky

2016년 12월 13일에 추가된 항목

WebKit

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 임의 코드가 실행될 수 있음

설명: 여러 가지 메모리 손상 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2016-7587: Adam Klein

CVE-2016-7610: Trend Micro의 Zero Day Initiative에 참여 중인 Baidu Security Lab의 Zheng Huang

CVE-2016-7611: Trend Micro의 Zero Day Initiative에 참여 중인 익명의 연구원

CVE-2016-7639: Palo Alto Networks의 Tongbo Luo

CVE-2016-7640: Tencent Xuanwu Lab(tencent.com)의 Kai Kang

CVE-2016-7641: Tencent Xuanwu Lab(tencent.com)의 Kai Kang

CVE-2016-7642: Palo Alto Networks의 Tongbo Luo

CVE-2016-7645: Tencent Xuanwu Lab(tencent.com)의 Kai Kang

CVE-2016-7646: Tencent Xuanwu Lab(tencent.com)의 Kai Kang

CVE-2016-7648: Tencent Xuanwu Lab(tencent.com)의 Kai Kang

CVE-2016-7649: Tencent Xuanwu Lab(tencent.com)의 Kai Kang

CVE-2016-7654: Trend Micro의 Zero Day Initiative에 참여 중인 Keen Lab

2016년 12월 13일에 추가된 항목

WebKit

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 임의 코드가 실행될 수 있음

설명: 메모리 손상 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2016-7589: Apple

CVE-2016-7656: Trend Micro의 Zero Day Initiative에 참여 중인 Keen Lab

2016년 12월 13일에 추가된 항목

WebKit

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 사용자 정보가 손상될 수 있음

설명: JavaScript 프롬프트를 처리할 때 문제가 발생했으나 이 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2016-7592: Tencent Xuanwu Lab(tencent.com)의 xisigr

2016년 12월 13일에 추가된 항목

WebKit

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 프로세스 메모리가 공개될 수 있음

설명: 초기화되지 않은 메모리 접근 문제는 향상된 메모리 초기화를 통해 해결되었습니다.

CVE-2016-7598: Samuel Groß

2016년 12월 13일에 추가된 항목

WebKit

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 사용자 정보가 공개될 수 있음

설명: HTTP 리디렉션을 처리할 때 문제가 발생했으나 이 문제는 향상된 출처 간 유효성 확인을 통해 해결되었습니다.

CVE-2016-7599: Recruit Technologies Co., Ltd.의 Muneaki Nishimura(nishimunea)

2016년 12월 13일에 추가된 항목

WebKit

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 웹 사이트를 방문하면 사용자 정보가 손상될 수 있음

설명: blob URL을 처리할 때 문제가 발생했으나  이 문제는 향상된 URL 처리를 통해 해결되었습니다.

CVE-2016-7623: Tencent Xuanwu Lab(tencent.com)의 xisigr

2016년 12월 13일에 추가된 항목

WebKit

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 웹 페이지를 방문하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

설명: 메모리 손상 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2016-7632: Jeonghoon Shin

2016년 12월 13일에 추가된 항목

WebKit

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 크로스 사이트 스크립팅이 실행될 수 있음

설명: Safari에서 문서를 표시할 때 문제가 발생했으나 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2016-7762: YongShao(JDSEC 1aq.com의 Zhiyong Feng‍)

2017년 1월 24일에 추가된 항목

WebSheet

대상: iPhone 5 및 이후 모델, iPad (4th generation) 및 이후 모델, iPod touch (6th generation) 및 이후 모델

영향: 샌드박스가 적용된 프로세스에서 샌드박스 제한 사항을 우회할 수 있음

설명: 샌드박스 이스케이프 문제는 추가 제한 사항을 통해 해결되었습니다.

CVE-2016-7630: Trend Micro의 Zero Day Initiative에 참여 중인 Keen Lab(@keen_lab) Tencent의 Marco Grassi(@marcograss)

2017년 1월 25일에 추가된 항목

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능, 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 인터넷을 사용하는 데는 위험이 따르기 마련입니다. 자세한 내용은 공급업체에 문의하십시오. 기타 회사 및 제품 이름은 각 소유자의 상표일 수 있습니다.

게시일: