Safari 13.1.2의 보안 콘텐츠에 관하여

이 문서에서는 Safari 13.1.2의 보안 콘텐츠에 대해 설명합니다.

Apple 보안 업데이트에 관하여

Apple은 고객 보호를 위해 조사를 마치고 패치 또는 출시 버전을 제공할 수 있을 때까지는 보안 문제를 공개하거나, 논의하거나, 확인해 주지 않습니다. 최신 출시 버전은 Apple 보안 업데이트 페이지에 나와 있습니다.

Apple 보안 문서에서는 가능한 경우 취약점을 CVE-ID로 표시합니다.

보안에 대한 자세한 내용은 Apple 제품 보안 페이지를 참조하십시오.

Safari 13.1.2

Safari

대상: macOS Mojave, macOS High Sierra 및 macOS Catalina(macOS Catalina의 경우 포함되어 있음)

영향: 악의적인 웹 사이트를 방문하면 주소 표시줄 스푸핑이 발생할 수 있음

설명: 일관되지 않은 사용자 인터페이스 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2020-9942: 익명의 연구원, Rahul d Kankrale(servicenger.com), The City School의 Rayyan Bijoora(@Bijoora), PAF Chapter, Tencent Security Xuanwu Lab의 Ruilin Yang, PT Telekomunikasi Indonesia(Persero) Tbk의 YoKo Kho(@YoKoAcc), OPPO ZIWU Security Lab의 Zhiyang Zeng(@Wester)

Safari 다운로드

대상: macOS Mojave, macOS High Sierra 및 macOS Catalina(macOS Catalina의 경우 포함되어 있음)

영향: 악의적인 공격자가 Safari 읽기 도구 모드에서 다운로드 프레임 출처를 변경할 수 있음

설명: 로직 문제는 향상된 제한 조치를 통해 해결되었습니다.

CVE-2020-9912: Payatu Labs(payatu.com)의 Nikhil Mittal(@c0d3G33k)

Safari 로그인 자동 완성

대상: macOS Mojave, macOS High Sierra 및 macOS Catalina(macOS Catalina의 경우 포함되어 있음)

영향: 악의적인 공격자가 Safari에서 잘못된 도메인에 대한 암호가 제시되도록 할 수 있음

설명: 로직 문제는 향상된 제한 조치를 통해 해결되었습니다.

CVE-2020-9903: Payatu Labs(payatu.com)의 Nikhil Mittal(@c0d3G33k)

Safari 읽기 도구

대상: macOS Mojave, macOS High Sierra 및 macOS Catalina(macOS Catalina의 경우 포함되어 있음)

영향: Safari 읽기 도구 모드의 문제로 인해 원격 공격자가 동일 출처 정책을 우회할 수 있음

설명: 로직 문제는 향상된 제한 조치를 통해 해결되었습니다.

CVE-2020-9911: Payatu Labs(payatu.com)의 Nikhil Mittal(@c0d3G33k)

WebKit

대상: macOS Mojave, macOS High Sierra 및 macOS Catalina(macOS Catalina의 경우 포함되어 있음)

영향: 원격 공격자가 응용 프로그램을 예기치 않게 종료하거나 임의 코드를 실행할 수 있음

설명: 범위를 벗어난 읽기는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2020-9894: Trend Micro의 Zero Day Initiative에 참여 중인 0011

WebKit

대상: macOS Mojave, macOS High Sierra 및 macOS Catalina(macOS Catalina의 경우 포함되어 있음)

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 콘텐츠 보안 정책이 적용되지 못할 수 있음

설명: 콘텐츠 보안 정책에 대한 접근 문제가 발생했으나 이 문제는 향상된 접근 제한을 통해 해결되었습니다.

CVE-2020-9915: Noon의 Ayoub AIT ELMOKHTAR

WebKit

대상: macOS Mojave, macOS High Sierra 및 macOS Catalina(macOS Catalina의 경우 포함되어 있음)

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 범용 크로스 사이트 스크립팅이 실행될 수 있음

설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2020-9925: 익명의 연구원

WebKit

대상: macOS Mojave, macOS High Sierra 및 macOS Catalina(macOS Catalina의 경우 포함되어 있음)

영향: 원격 공격자가 응용 프로그램을 예기치 않게 종료하거나 임의 코드를 실행할 수 있음

설명: use-after-free 문제는 향상된 메모리 관리를 통해 해결되었습니다.

CVE-2020-9893: Trend Micro의 Zero Day Initiative에 참여 중인 0011

CVE-2020-9895: Georgia Tech SSLab의 Wen Xu

WebKit

대상: macOS Mojave, macOS High Sierra 및 macOS Catalina(macOS Catalina의 경우 포함되어 있음)

영향: 임의로 읽고 쓸 수 있게 된 악의적인 공격자가 포인터 인증을 우회할 수 있음

설명: 향상된 로직을 통해 여러 문제가 해결되었습니다.

CVE-2020-9910: Google Project Zero의 Samuel Groß

WebKit 페이지 로드

대상: macOS Mojave, macOS High Sierra 및 macOS Catalina(macOS Catalina의 경우 포함되어 있음)

영향: 악의적인 공격자가 URL이 연결되는 페이지를 숨길 수 있음

설명: URL 유니코드 인코딩 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2020-9916: Rakesh Mane(@RakeshMane10)

WebKit Web Inspector

대상: macOS Mojave, macOS High Sierra 및 macOS Catalina(macOS Catalina의 경우 포함되어 있음)

영향: Web Inspector의 URL을 복사하면 명령이 삽입될 수 있음

설명: Web Inspector에서 명령 삽입 문제가 발생했으나 이 문제는 향상된 이스케이핑을 통해 해결되었습니다.

CVE-2020-9862: Ophir Lojkine(@lovasoa)

WebRTC

대상: macOS Mojave, macOS High Sierra 및 macOS Catalina(macOS Catalina의 경우 포함되어 있음)

영향: 네트워크에서 권한 있는 위치에 있는 공격자가 제작된 SCTP 스트림을 통해 힙 손상을 일으킬 수 있음

설명: 메모리 손상 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2020-6514: Google Project Zero의 natashenka