Safari 4.0.4의 보안 내용 정보

이 문서에서는 Safari 4.0.4의 보안 내용에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 릴리즈가 준비될 때까지 보안 문제를 공개, 토론 또는 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 대한 자세한 내용은 "Apple 제품 보안 PGP 키 사용 방법"을 참조하십시오.

가능한 경우 CVE ID를 사용하여 취약점에 대한 추가 정보를 참조할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 "Apple 보안 업데이트"를 참조하십시오.

Safari 4.0.4

  • ColorSync

    CVE-ID: CVE-2009-2804

    사용 대상: Windows 7, Vista, XP

    영향: 내장된 색상 프로파일을 사용하여 악의적으로 제작된 이미지를 보는 경우 응용 프로그램이 예상치 않게 중단되거나 임의의 코드가 실행될 수 있습니다.

    설명: 내장된 색상 프로파일을 사용하여 이미지를 처리할 때 정수 오버플로우가 발생합니다. 이 경우 힙 버퍼 오버플로우가 발생할 수 있습니다. 내장 색상 프로파일을 사용하여 악의적으로 제작된 이미지를 여는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 색상 프로파일을 추가로 확인하여 이 문제를 해결합니다. 이 문제는 Mac OS X v10.6 시스템에는 영향을 미치지 않습니다. Mac OS X 10.5.8 시스템용 Security Update 2009-005에서는 이 문제가 이미 해결되었습니다. 이 문제를 보고한 사람은 Apple입니다.

  • libxml

    CVE-ID: CVE-2009-2414, CVE-2009-2416

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Windows 7, Vista, XP

    영향: 악의적으로 제작된 XML 콘텐츠를 분석하면 응용 프로그램이 예상치 않게 종료될 수 있습니다.

    설명: libxml2에는 여러 use-after-free 문제가 있습니다. 이 중 가장 심각한 문제로 인해 응용 프로그램이 예상치 않게 종료될 수 있습니다. 이 업데이트에서는 향상된 메모리 처리 기능을 통해 이 문제를 해결합니다. 이 문제는 Mac OS X 10.6.2과 Mac OS X 10.5.8 시스템용 Security Update 2009-006에서 이미 해결되었습니다.

  • Safari

    CVE-ID: CVE-2009-2842

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 및 v10.6.2, Mac OS X Server v10.6.1 및 v10.6.2, Windows 7, Vista, XP

    영향: 악의적으로 제작된 웹 사이트 내에서 단축키 메뉴 옵션을 사용하면 로컬 정보가 유출될 수 있습니다.

    설명: "새로운 탭에서 이미지 열기", "새로운 윈도우에서 이미지 열기" 또는 "새로운 탭에서 링크 열기" 단축키 메뉴 옵션을 통해 시작된 탐색을 Safari에서 처리할 때 문제가 발생합니다. 악의적으로 제작된 웹 사이트 내에서 이 옵션을 사용하면 로컬 HTML 파일이 로드되므로 중요한 정보가 유출될 수 있습니다. 링크 대상이 로컬 파일일 경우 나열된 단축키 메뉴 옵션을 비활성화하여 이 문제를 해결합니다.

  • WebKit

    CVE-ID: CVE-2009-2816

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 및 v10.6.2, Mac OS X Server v10.6.1 및 v10.6.2, Windows 7, Vista, XP

    영향: 악의적으로 제작된 웹 사이트를 방문하면 다른 웹 사이트에서 예기치 않은 동작이 발생할 수 있습니다.

    설명: 크로스 출처 리소스 공유의 WebKit 구현에 문제가 있습니다. 한 출처의 페이지가 다른 출처의 리소스에 액세스할 수 있도록 허용하기 전에 WebKit가 후자 서버에게 리소스 액세스를 위한 사전 요청을 전송합니다. WebKit에는 사전 요청의 요청하는 페이지에서 지정한 사용자화 HTTP 헤더가 포함되어 있습니다. 이 경우 크로스 사이트 요청 가장을 이용할 수 있습니다. 사전 요청에서 사용자화 HTTP 헤더를 제거하여 이 문제를 해결합니다. 이 문제를 보고한 사람은 Apple입니다.

  • WebKit

    CVE-ID: CVE-2009-3384

    사용 대상: Windows 7, Vista, XP

    영향: 악의적으로 제작된 FTP 서버에 액세스하면 응용 프로그램이 예상치 않게 중단되거나, 정보가 유출되거나, 임의의 코드가 실행될 수 있습니다.

    설명: WebKit의 FTP 디렉토리 목록 처리 시 여러 취약성이 존재합니다. 악의적으로 제작된 FTP 서버에 액세스하면 정보가 유출되거나, 응용 프로그램이 예상치 않게 중단되거나, 임의의 코드가 실행될 수 있습니다. 이 업데이트에서 FTP 디렉토리 목록의 파싱을 개선하여 문제를 해결합니다. 이 문제는 Mac OS X 시스템의 Safari에는 영향을 미치지 않습니다. 이 문제를 보고한 사람은 Google Inc.의 Michal Zalewski입니다.

  • WebKit

    CVE-ID: CVE-2009-2841

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 및 v10.6.2, Mac OS X Server v10.6.1 및 v10.6.2

    영향: 원격 이미지 로드가 비활성화된 경우 Mail에서 원격 오디오 및 비디오 콘텐츠를 로드할 수 있습니다.

    설명: WebKit에 외부 리소스를 가리키는 HTML 5 미디어 요소가 발생할 경우 리소스를 로드해야 하는지 확인하기 위해 리소스 로드 콜백을 실행하지 않습니다. 이 경우 원격 서버에 원하지 않는 요청이 발생할 수 있습니다. 예를 들어 HTML 형식의 이메일 메시지를 보낸 사람이 이를 사용하여 메시지를 읽었는지 확인할 수 있습니다. WebKit에 HTML 5 미디어 요소가 발생할 경우 리소스 로드 콜백을 생성하여 이 문제를 해결합니다. 이 문제는 Windows 시스템의 Safari에 영향을 미치지 않습니다.

게시일: