Safari 4.0.4
-
ColorSync
CVE-ID: CVE-2009-2804
사용 대상: Windows 7, Vista, XP
영향: 내장된 색상 프로파일을 사용하여 악의적으로 제작된 이미지를 보는 경우 응용 프로그램이 예상치 않게 중단되거나 임의의 코드가 실행될 수 있습니다.
설명: 내장된 색상 프로파일을 사용하여 이미지를 처리할 때 정수 오버플로우가 발생합니다. 이 경우 힙 버퍼 오버플로우가 발생할 수 있습니다. 내장 색상 프로파일을 사용하여 악의적으로 제작된 이미지를 여는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 색상 프로파일을 추가로 확인하여 이 문제를 해결합니다. 이 문제는 Mac OS X v10.6 시스템에는 영향을 미치지 않습니다. Mac OS X 10.5.8 시스템용 Security Update 2009-005에서는 이 문제가 이미 해결되었습니다. 이 문제를 보고한 사람은 Apple입니다.
-
libxml
CVE-ID: CVE-2009-2414, CVE-2009-2416
사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Windows 7, Vista, XP
영향: 악의적으로 제작된 XML 콘텐츠를 분석하면 응용 프로그램이 예상치 않게 종료될 수 있습니다.
설명: libxml2에는 여러 use-after-free 문제가 있습니다. 이 중 가장 심각한 문제로 인해 응용 프로그램이 예상치 않게 종료될 수 있습니다. 이 업데이트에서는 향상된 메모리 처리 기능을 통해 이 문제를 해결합니다. 이 문제는 Mac OS X 10.6.2과 Mac OS X 10.5.8 시스템용 Security Update 2009-006에서 이미 해결되었습니다.
-
Safari
CVE-ID: CVE-2009-2842
사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 및 v10.6.2, Mac OS X Server v10.6.1 및 v10.6.2, Windows 7, Vista, XP
영향: 악의적으로 제작된 웹 사이트 내에서 단축키 메뉴 옵션을 사용하면 로컬 정보가 유출될 수 있습니다.
설명: "새로운 탭에서 이미지 열기", "새로운 윈도우에서 이미지 열기" 또는 "새로운 탭에서 링크 열기" 단축키 메뉴 옵션을 통해 시작된 탐색을 Safari에서 처리할 때 문제가 발생합니다. 악의적으로 제작된 웹 사이트 내에서 이 옵션을 사용하면 로컬 HTML 파일이 로드되므로 중요한 정보가 유출될 수 있습니다. 링크 대상이 로컬 파일일 경우 나열된 단축키 메뉴 옵션을 비활성화하여 이 문제를 해결합니다.
-
WebKit
CVE-ID: CVE-2009-2816
사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 및 v10.6.2, Mac OS X Server v10.6.1 및 v10.6.2, Windows 7, Vista, XP
영향: 악의적으로 제작된 웹 사이트를 방문하면 다른 웹 사이트에서 예기치 않은 동작이 발생할 수 있습니다.
설명: 크로스 출처 리소스 공유의 WebKit 구현에 문제가 있습니다. 한 출처의 페이지가 다른 출처의 리소스에 액세스할 수 있도록 허용하기 전에 WebKit가 후자 서버에게 리소스 액세스를 위한 사전 요청을 전송합니다. WebKit에는 사전 요청의 요청하는 페이지에서 지정한 사용자화 HTTP 헤더가 포함되어 있습니다. 이 경우 크로스 사이트 요청 가장을 이용할 수 있습니다. 사전 요청에서 사용자화 HTTP 헤더를 제거하여 이 문제를 해결합니다. 이 문제를 보고한 사람은 Apple입니다.
-
WebKit
CVE-ID: CVE-2009-3384
사용 대상: Windows 7, Vista, XP
영향: 악의적으로 제작된 FTP 서버에 액세스하면 응용 프로그램이 예상치 않게 중단되거나, 정보가 유출되거나, 임의의 코드가 실행될 수 있습니다.
설명: WebKit의 FTP 디렉토리 목록 처리 시 여러 취약성이 존재합니다. 악의적으로 제작된 FTP 서버에 액세스하면 정보가 유출되거나, 응용 프로그램이 예상치 않게 중단되거나, 임의의 코드가 실행될 수 있습니다. 이 업데이트에서 FTP 디렉토리 목록의 파싱을 개선하여 문제를 해결합니다. 이 문제는 Mac OS X 시스템의 Safari에는 영향을 미치지 않습니다. 이 문제를 보고한 사람은 Google Inc.의 Michal Zalewski입니다.
-
WebKit
CVE-ID: CVE-2009-2841
사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 및 v10.6.2, Mac OS X Server v10.6.1 및 v10.6.2
영향: 원격 이미지 로드가 비활성화된 경우 Mail에서 원격 오디오 및 비디오 콘텐츠를 로드할 수 있습니다.
설명: WebKit에 외부 리소스를 가리키는 HTML 5 미디어 요소가 발생할 경우 리소스를 로드해야 하는지 확인하기 위해 리소스 로드 콜백을 실행하지 않습니다. 이 경우 원격 서버에 원하지 않는 요청이 발생할 수 있습니다. 예를 들어 HTML 형식의 이메일 메시지를 보낸 사람이 이를 사용하여 메시지를 읽었는지 확인할 수 있습니다. WebKit에 HTML 5 미디어 요소가 발생할 경우 리소스 로드 콜백을 생성하여 이 문제를 해결합니다. 이 문제는 Windows 시스템의 Safari에 영향을 미치지 않습니다.