Safari 4.0.3의 보안 내용 정보

이 문서에서는 Safari 4.0.3의 보안 내용에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 릴리즈가 준비될 때까지 보안 문제를 공개, 토론 또는 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 대한 자세한 내용은 "Apple 제품 보안 PGP 키 사용 방법"을 참조하십시오.

가능한 경우 CVE ID를 사용하여 취약점에 대한 추가 정보를 참조할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 "Apple 보안 업데이트"를 참조하십시오.

Safari 4.0.3

  • CoreGraphics

    CVE-ID: CVE-2009-2468

    사용 대상: Windows XP 또는 Vista

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: 긴 텍스트 문자열을 가져올 때 힙 버퍼 오버플로우가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 경계 검사를 통해 이 문제를 해결합니다. 이 문제를 보고한 사람은 Google Inc.의 Will Drewry입니다.

  • ImageIO

    CVE-ID: CVE-2009-2188

    사용 대상: Windows XP 또는 Vista

    영향: 악의적으로 제작된 이미지를 보는 경우 응용 프로그램이 예상치 않게 중단되거나 임의의 코드가 실행될 수 있습니다.

    설명: EXIF 메타데이터를 처리할 때 버퍼 오버플로우가 발생합니다. 악의적으로 제작된 이미지를 보는 경우 응용 프로그램이 예기치 않게 중단되거나 임의의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 경계 검사를 통해 이 문제를 해결합니다.

  • Safari

    CVE-ID: CVE-2009-2196

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP 또는 Vista

    영향: 악의적으로 제작된 웹 사이트가 Safari의 Top Sites 보기로 승격될 수 있습니다.

    설명: Safari 4에 도입된 Top Sites 기능을 통해 사용자가 즐겨 찾는 웹 사이트를 한 번에 볼 수 있습니다. 자동화된 동작을 통해 악의적인 웹 사이트가 임의의 사이트를 Top Sites 보기로 승격시킬 수 있습니다. 이는 피싱 공격을 용이하게 하는 데 악용될 수 있습니다. 이 문제는 자동화된 웹 사이트의 방문이 Top Sites 목록에 영향을 주는 것을 방지함으로써 해결합니다. 사용자가 직접 방문하는 웹 사이트만 Top Sites 목록에 포함될 수 있습니다. 참고로, Safari는 기본적으로 위조된 사이트의 검출 기능을 활성화합니다. Top Sites 기능을 도입한 이후로 위조된 사이트가 Top Sites 보기에 표시된 경우는 없습니다. 이 문제를 보고한 사람은 SecureThoughts.com의 Inferno입니다.

  • WebKit

    CVE-ID: CVE-2009-2195

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP 또는 Vista

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: WebKit에서 부동 소수점 숫자를 분석할 때 버퍼 오버플로우가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 경계 검사를 통해 이 문제를 해결합니다. 이 문제를 보고한 사람은 Apple입니다.

  • WebKit

    CVE-ID: CVE-2009-2200

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP 또는 Vista

    영향: 악의적으로 제작된 웹 사이트를 방문하고 악의적인 플러그인 대화상자가 표시될 때 "이동"을 클릭하는 경우 중요한 정보가 공개될 수 있습니다.

    설명: WebKit를 통해 'embed' 요소의 pluginspage 속성이 파일 URL을 참조할 수 있습니다. 알 수 없는 플러그인 유형이 참조될 때 나타나는 대화상자에서 "이동"을 클릭하는 경우 pluginspage 속성에 나열된 URL로 재전송됩니다. 이렇게 되면 원격 공격자가 Safari에서 파일 URL을 실행할 수 있고 중요한 정보가 공개될 수 있습니다. 이 업데이트에서는 pluginspage URL 체계를 http 또는 https로 제한하여 이 문제를 해결합니다. 이 문제를 보고한 사람은 n.runs AG의 Alexios Fakos입니다.

  • WebKit

    CVE-ID: CVE-2009-2199

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP 또는 Vista

    영향: URL에서 유사 문자가 사용되어 웹 사이트를 가장할 수 있습니다.

    설명: IDN(International Domain Name) 지원과 Safari에 포함된 유니코드 글꼴을 사용하여 유사 문자가 포함된 URL을 만들 수 있습니다. 악의적인 웹 사이트에서 이 방법을 이용하여 적법한 도메인처럼 보이도록 스푸핑된 웹 사이트로 사용자를 연결할 수 있습니다. 이 업데이트에서는 WebKit에서 제공하는 알려진 유사 문자 목록을 보충하여 이 문제를 해결합니다. 유사 문자는 주소 표시줄에서 퓨니코드로 렌더링됩니다. 이 문제를 보고한 사람은 Casaba Security, LLC의 Chris Weber입니다.

게시일: