Security Update 2006-003 정보

이 문서에서는 Security Update 2006-003에 대해 설명합니다. 해당 보안 업데이트는 소프트웨어 업데이트 환경설정 또는 지원 다운로드를 통해 다운로드 및 설치하실 수 있습니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 릴리즈가 준비될 때까지 보안 문제를 공개, 토론 또는 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 대한 자세한 내용은 "Apple 제품 보안 PGP 키 사용 방법"을 참조하십시오.

가능한 경우 CVE ID를 사용하여 취약점에 대한 추가 정보를 참조할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 "Apple 보안 업데이트"를 참조하십시오.

Security Update 2006-003

  • AppKit

    CVE-ID: CVE-2006-1439

    사용 대상: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: 보안 텍스트 필드에 입력한 문자는 같은 윈도우 세션에서 다른 응용 프로그램이 읽을 수 있습니다.

    설명: 특정 상황에서 텍스트 입력 필드 간에 전환할 때 NSSecureTextField가 보안 이벤트 입력을 다시 활성화지 못할 수도 있습니다. 이렇게 하면 같은 윈도우 세션에 있는 다른 응용 프로그램에 일부 입력 문자와 키보드 이벤트가 표시될 수 있습니다. 이 업데이트는 보안 이벤트 입력이 제대로 활성화되도록 하여 문제를 해결합니다. 이 문제는 Mac OS X v10.4 이전 시스템에는 영향을 주지 않습니다.

  • AppKit, ImageIO

    CVE-ID: CVE-2006-1982, CVE-2006-1983, CVE-2006-1984

    사용 대상: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: 악의적으로 제작된 GIF나 TIFF 이미지를 보는 경우 임의의 코드가 실행될 수 있습니다.

    설명: 악의적으로 제작된 이미지를 분석할 때 잘못된 GIF나 TIFF 이미지를 처리하면 임의 코드가 실행될 수 있습니다. 이는 ImageIO(Mac OS X v10.4 Tiger) 또는 AppKit (Mac OS X v10.3 Panther) 프레임워크를 사용하여 이미지를 읽는 응용 프로그램에 영향을 줍니다. 이 업데이트는 GIF 및 TIFF 이미지에 대해 추가 검증을 수행하여 문제를 처리합니다.

  • BOM

    CVE-ID: CVE-2006-1985

    사용 대상: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: 아카이브를 확장하면 임의 코드가 실행될 수 있습니다.

    설명: 공격자가 긴 경로 이름을 포함하는 아카이브(예: Zip 아카이브)를 제작하여 BOM에서 힙 버퍼 오버플로를 실행시킬 수 있습니다. 따라서 임의 코드가 실행될 수 있습니다. BOM은 Finder 및 기타 응용 프로그램에서 아카이브를 처리하는 데 사용됩니다. 이 업데이트는 경계 조건을 올바로 처리하여 문제를 해결합니다.

  • BOM

    CVE-ID: CVE-2006-1440

    사용 대상: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: 악의적인 아카이브를 확장하면 임의 파일이 생성되거나 임의 파일로 덮어써질 수 있습니다.

    설명: 아카이브에 발생한 디렉토리 트래버설 심볼 링크 처리 문제로 인해 사용자가 아카이브를 확장하여 액세스할 수 있는 임의 위치에 BOM이 파일을 생성하거나 덮어쓸 수 있습니다. BOM은 Finder 및 기타 응용 프로그램 대신 아카이브를 처리합니다. 이 업데이트는 아카이브에서 확장된 파일이 대상 디렉토리 외부에 없는지 확인하여 문제를 해결합니다.

  • CFNetwork

    CVE-ID: CVE-2006-1441

    사용 대상: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: 악의적인 웹 사이트를 방문하면 임의 코드가 실행될 수 있습니다.

    설명: 청크 분할 전송 인코딩을 처리하는 데 정수 오버플로가 발생하면 임의 코드가 실행될 수 있습니다. CFNetwork는 Safari와 기타 다른 응용 프로그램에서 사용합니다. 이 업데이트는 추가 검증을 수행하여 문제를 해결합니다. 이 문제는 Mac OS X v10.4 이전 시스템에는 영향을 주지 않습니다.

  • ClamAV

    CVE-ID: CVE-2006-1614, CVE-2006-1615, CVE-2006-1630

    사용 대상: Mac OS X Server v10.4.6

    영향: ClamAV가 포함되어 있으며 악의적으로 제작된 이메일 메시지로 인해 임의 코드가 실행될 수 있습니다.

    설명: ClamAV 바이러스 검색 소프트웨어는 최신 버전에서 보안 수정 사항을 통합하도록 업데이트되었습니다. ClamAV는 이메일 검색을 위해 Mac OS X Server v10.4에 도입되었습니다. 이러한 문제가 심각해지면서 ClamAV의 권한으로 임의 코드가 실행될 수 있습니다. 자세한 내용은 프로젝트 웹 사이트 http://www.clamav.net을 참조하십시오.

  • CoreFoundation

    CVE-ID: CVE-2006-1442

    사용 대상: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: 신뢰할 수 없는 번들을 등록하면 임의 코드가 실행될 수 있습니다.

    설명: 특정 상황에서 번들은 응용 프로그램이나 시스템에 의해 명시적으로 등록됩니다. 번들 API의 기능을 사용하면 클라이언트 응용 프로그램이 명시적으로 요청하지 않아도 번들 등록 시 동적 라이브러리가 로드되고 실행됩니다. 따라서 명시적인 사용자 상호 작용 없이도 신뢰할 수 없는 번들에서 임의 코드가 실행될 수 있습니다. 이 업데이트는 적시에 번들에서 라이브러리를 로드하고 실행하여 문제를 해결합니다.

  • CoreFoundation

    CVE-ID: CVE-2006-1443

    사용 대상: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: 파일 시스템 표현으로 문자열을 변환하면 임의 코드가 실행될 수 있습니다.

    설명: CFStringGetFileSystemRepresentation의 경계 조건을 처리하는 동안 정수 언더플로가 발생하면 임의 코드가 실행될 수 있습니다. 이 API 또는 NSFileManager의 getFileSystemRepresentation:maxLength:withPath: 같은 관련 API 중 하나를 사용하는 응용 프로그램이 문제를 실행하여 임의 코드가 실행될 수 있습니다. 이 업데이트는 경계 조건을 올바로 처리하여 문제를 해결합니다.

  • CoreGraphics

    CVE-ID: CVE-2006-1444

    사용 대상: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: 보안 텍스트 필드에 입력한 문자는 같은 윈도우 세션에서 다른 응용 프로그램이 읽을 수 있습니다.

    설명: Quartz Event Services는 응용 프로그램에 하위 레벨 사용자 입력 이벤트를 확인하고 변경하는 기능을 제공합니다. 일반적으로 보안 이벤트 입력이 활성화된 경우에는 응용 프로그램이 이벤트를 차단할 수 없습니다. 하지만 "보조 장비에 대한 접근 활성화"를 선택한 경우에는 보안 이벤트 입력이 활성화되어 있으면 Quartz Event Services를 사용하여 이벤트를 차단할 수 있습니다. 이 업데이트는 보안 이벤트 입력이 활성화된 경우 이벤트를 필터링하여 문제를 해결합니다. 이 문제는 Mac OS X v10.4 이전 버전에는 영향을 주지 않습니다. 이 문제를 보고해 주신 Damien Bobillot님께 감사드립니다.

  • Finder

    CVE-ID: CVE-2006-1448

    사용 대상: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: 인터넷 위치 항목을 실행하면 임의 코드가 실행될 수 있습니다.

    설명: 인터넷 위치 항목은 http://, ftp:// 및 file:// URL과 몇 가지 기타 URL 체계를 참조할 수 있는 간단한 URL 컨테이너입니다. 이러한 다른 유형의 인터넷 위치 항목은 시각적으로 구분되며 명시적으로 안전하게 실행하도록 되어 있습니다. 하지만 URL 체계가 인터넷 위치 유형과 다를 수 있습니다. 따라서 공격자가 사용자에게 웹 인터넷 위치 및 http:// 같은 항목을 실행하도록 권유하여 일부 다른 URL 체계가 실제로 사용되도록 할 수 있습니다. 특정 상황에서 이로 인해 임의 코드가 실행될 수 있습니다. 이 업데이트는 인터넷 위치 유형을 기반으로 한 URL 체계를 제한하여 문제를 해결합니다.

  • FTPServer

    CVE-ID: CVE-2006-1445

    사용 대상: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: 인증을 거친 FTP 사용자가 FTP를 이용할때 임의의 코드가 실행될 수 있습니다.

    설명: FTP 서버 경로 이름 처리의 여러 문제로 인해 버퍼 오버플로가 발생할 수 있습니다. 인증된 악의적인 사용자가 이 오버플로를 실행하여 FTP 서버 권한으로 임의 코드를 실행할 수 있습니다. 이 업데이트는 경계 조건을 올바로 처리하여 문제를 해결합니다.

  • Flash Player

    CVE-ID: CVE-2005-2628, CVE-2006-0024

    사용 대상: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: Flash 콘텐츠를 재생하면 임의 코드가 실행될 수 있습니다.

    설명: Adobe Flash Player는 특별하게 제작된 파일이 로드되는 경우 임의 코드를 실행하는 중요한 취약점이 있습니다. 자세한 내용은 Adobe 웹 사이트 http://www.adobe.com/devnet/security/security_zone/apsb06-03.html을 통해 볼 수 있습니다. 이 업데이트는 Flash Player 버전 8.0.24.0을 통합하여 문제를 해결합니다.

  • ImageIO

    CVE-ID: CVE-2006-1552

    사용 대상: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: 악의적으로 제작된 JPEG 이미지를 보는 경우 임의의 코드가 실행될 수 있습니다.

    설명: JPEG 메타데이터를 처리하는 중에 정수 오버플로가 발생하여 힙 버퍼 오버플로가 발생할 수 있습니다. 공격자가 잘못된 JPEG 메타데이터로 이미지를 작성하여 이미지를 볼 때 임의 코드가 실행되도록 할 수 있습니다. 이 업데이트는 이미지에 대해 추가 검증을 수행하여 문제를 해결합니다. 이 문제는 Mac OS X v10.4 이전 시스템에는 영향을 주지 않습니다. 이 문제를 보고해 주신 NewsGator Technologies, Inc.의 Brent Simmons님께 감사드립니다.

  • 키체인

    CVE-ID: CVE-2006-1446

    사용 대상: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: 키체인이 잠겨 있을 경우 응용 프로그램에서 키체인 항목을 사용할 수 있습니다.

    설명: 키체인이 잠겨 있을 경우 응용 프로그램에서 먼저 이 키체인의 잠금 해제를 요청하지 않으면 포함된 키체인 항목에 액세스할 수 없습니다. 하지만 키체인을 잠그기 전에 키체인 항목에 대한 참조를 받은 응용 프로그램은 키체인이 잠겨 있는지 여부에 관계없이 특정 상황에서 해당 키체인 항목을 계속 사용할 수 있습니다. 이 업데이트는 키체인이 잠겨 있는 경우 키체인 항목 사용 요청을 거부하여 문제를 해결합니다. 이 문제를 보고해 주신 HU Berlin의 Tobias Hahn님께 감사드립니다.

  • LaunchServices

    CVE-ID: CVE-2006-1447

    사용 대상: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: 악의적인 웹 사이트를 보는 경우 임의의 코드가 실행될 수 있습니다.

    설명: 긴 파일 이름 확장자로 인해 Download Validation 기능에서 항목을 열 수 있는 응용 프로그램을 올바르게 결정할 수 없습니다. 따라서 "다운로드 후 '안전한' 파일 열기" 옵션이 활성화되고 특정 응용 프로그램이 설치되어 있지 않은 경우 공격자가 Download Validation 기능을 무시하고 Safari에서 안전하지 않은 콘텐츠가 자동으로 열리게 할 수 있습니다. 이 업데이트는 향상된 파일 이름 확장명 검사를 통해 문제를 해결합니다. 이 문제는 Mac OS X v10.4 이전 시스템에는 영향을 주지 않습니다.

  • libcurl

    CVE-ID: CVE-2005-4077

    사용 대상: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: libcurl에서 URL 처리로 인해 임의 코드가 실행될 수 있습니다.

    설명: 오픈 소스 HTTP 라이브러리 libcurl에는 URL 처리 시 발생한 버퍼 오버플로가 있습니다. URL 처리에 curl을 사용하는 응용 프로그램은 문제를 실행하여 임의 코드가 실행될 수 있습니다. 이 업데이트는 libcurl 버전 7.15.1을 통합하여 문제를 해결합니다. 이 문제는 Mac OS X v10.4 이전 시스템에는 영향을 주지 않습니다.

  • Mail

    CVE-ID: CVE-2006-1449

    사용 대상: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: 악의적인 메일 메시지를 보는 경우 임의의 코드가 실행될 수 있습니다.

    설명: 공격자가 MacMIME로 캡슐화된 첨부 파일이 포함되어 있는 특별하게 제작된 이메일 메시지를 준비하여 정수 오버플로를 실행할 수 있습니다. 이로 인해 Mail을 실행 중인 사용자의 권한으로 임의 코드가 실행될 수 있습니다. 이 문제는 메시지에 대해 추가 검증을 수행하여 문제를 해결합니다.

  • Mail

    CVE-ID: CVE-2006-1450

    사용 대상: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: 악의적인 메일 메시지를 보는 경우 임의의 코드가 실행될 수 있습니다.

    설명: 서식 있는 텍스트 이메일 메시지의 잘못된 색상 정보를 처리하면 임의 클래스가 할당되고 초기화될 수 있습니다. 이로 인해 Mail을 실행 중인 사용자의 권한으로 임의 코드가 실행될 수 있습니다. 이 업데이트는 잘못된 서식 있는 텍스트 데이터를 올바르게 처리하여 문제를 해결합니다.

  • MySQL Manager

    CVE-ID: CVE-2006-1451

    사용 대상: Mac OS X Server v10.4.6

    영향: 빈 암호로 MySQL 데이터베이스에 액세스할 수 있습니다.

    설명: MySQL Manager를 사용하여 MySQL 데이터베이스 서버를 초기 설정하는 동안 "New MySQL root password(새 MySQL 루트 암호)"가 제공될 수 있습니다. 하지만 이 암호는 실제로 사용되지 않습니다. 따라서 MySQL root 암호가 비어 있습니다. 로컬 사용자가 모든 권한으로 MySQL 데이터베이스에 대한 액세스 권한을 얻을 수 있습니다. 이 업데이트는 입력된 암호가 저장되었는지 확인하여 문제를 해결합니다. 이 문제는 Mac OS X Server v10.4 이전 시스템에 영향을 주지 않습니다. 이 문제를 보고해 주신 New South Wales University의 Ben Low님께 감사드립니다.

  • 미리보기

    CVE-ID: CVE-2006-1452

    사용 대상: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: 악의적으로 제작된 디렉토리 계층을 탐색하는 경우 임의의 코드가 실행될 수 있습니다.

    설명: 미리보기에서 깊은 디렉토리 계층을 탐색할 때 스택 버퍼 오버플로가 실행될 수 있습니다. 공격자가 그러한 디렉토리 계층을 작성하여 디렉토리가 미리보기에서 열려 있는 경우 임의 코드가 실행되도록 할 수 있습니다. 이 문제는 Mac OS X v10.4 이전 시스템에는 영향을 주지 않습니다.

  • QuickDraw

    CVE-ID: CVE-2006-1453, CVE-2006-1454

    사용 대상: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: 악의적으로 제작된 PICT 이미지를 보는 경우 임의의 코드가 실행될 수 있습니다.

    설명: PICT 이미지를 처리할 때 두 가지 문제가 QuickDraw에 영향을 줍니다. 잘못된 서체 정보로 인해 스택 버퍼 오버플로가 발생할 수 있고 잘못된 이미지 데이터로 인해 힙 버퍼 오버플로가 발생할 수 있습니다. 공격자가 악의적인 PICT 이미지를 작성하여 이미지를 볼 때 임의 코드가 실행되도록 할 수 있습니다. 이 업데이트는 PICT 이미지에 대해 추가 검증을 수행하여 문제를 해결합니다. 이 문제를 보고해 주신 McAfee AVERT Labs의 Mike Price님께 감사드립니다.

  • QuickTime Streaming Server

    CVE-ID: CVE-2006-1455

    사용 대상: Server 10.3.9, Mac OS X v, Mac OS X Server v10.4.6

    영향: 잘못된 QuickTime 동영상으로 인해 QuickTime Streaming Server가 충돌할 수 있습니다.

    설명: 누락된 트랙이 있는 QuickTime 동영상으로 인해 Null 포인터 역참조 문제가 발생하여 서버 프로세스가 충돌할 수 있습니다. 이로 인해 활성 클라이언트 연결이 중단될 수 있습니다. 하지만 서버가 자동으로 다시 시작됩니다. 이 업데이트는 잘못된 동영상이 나타나면 오류를 생성하여 문제를 해결합니다.

  • QuickTime Streaming Server

    CVE-ID: CVE-2006-1456

    사용 대상: Server 10.3.9, Mac OS X v, Mac OS X Server v10.4.6

    영향: 악의적으로 제작된 RTSP 요청으로 인해 충돌하거나 임의 코드가 실행될 수 있습니다.

    설명: 공격자가 RTSP 요청을 작성하여 메시지 로깅 중에 버퍼 오버플로가 발생할 수 있습니다. 이로 인해 QuickTime Streaming Server 권한으로 임의 코드가 실행될 수 있습니다. 이 업데이트는 경계 조건을 올바로 처리하여 문제를 해결합니다. 이 문제를 보고해 주신 Mu Security Research Team님께 감사드립니다.

  • Ruby

    CVE-ID: CVE-2005-2337

    사용 대상: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: Ruby 보안 수준 제한이 무시될 수 있습니다.

    설명: Ruby 스크립트 언어에 특정 작업을 제한하는 데 사용되는 "보안 수준"이라고 하는 메커니즘이 포함되어 있습니다. 이 매커니즘은 권한이 있는 Ruby 응용 프로그램이나 Ruby 네트워크 응용 프로그램을 실행할 때 일반적으로 사용됩니다. 특정 상황에서 공격자가 그러한 응용 프로그램에서 제한을 무시할 수 있습니다. 보안 수준을 사용하지 않는 응용 프로그램은 영향을 받지 않습니다. 이 업데이트는 보안 수준을 무시할 수 없도록 하여 문제를 해결합니다.

  • Safari

    CVE-ID: CVE-2006-1457

    사용 대상: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    영향: 악의적인 웹 사이트를 방문하면 파일이 조작되거나 임의 코드가 실행될 수 있습니다.

    설명: Safari의 "다운로드 후 '안전한' 파일 열기" 옵션이 활성화된 경우 아카이브가 자동으로 확장됩니다. 아카이브에 심볼 링크가 포함된 경우 대상 심볼 링크가 사용자의 데스크탑으로 이동되어 실행될 수 있습니다. 이 업데이트는 다운로드된 심볼 링크를 확인하지 않고 문제를 해결합니다. 이 문제는 Mac OS X v10.4 이전 시스템에는 영향을 주지 않습니다.

게시일: