Safari 4.0.5의 보안 내용 정보

이 문서에서는 Safari 4.0.5의 보안 내용에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 릴리즈가 준비될 때까지 보안 문제를 공개, 토론 또는 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 대한 자세한 내용은 "Apple 제품 보안 PGP 키 사용 방법"을 참조하십시오.

가능한 경우 CVE ID를 사용하여 취약점에 대한 추가 정보를 참조할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 "Apple 보안 업데이트"를 참조하십시오.

Safari 4.0.5

  • ColorSync

    CVE-ID: CVE-2010-0040

    사용 대상: Windows 7, Vista, XP

    영향: 내장된 색상 프로파일을 사용하여 악의적으로 제작된 이미지를 보는 경우 응용 프로그램이 예상치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: 내장된 색상 프로파일을 사용하여 이미지를 처리할 때 힙 버퍼 오버플로우를 일으킬 수 있는 정수 오버플로우가 발생합니다. 내장 색상 프로파일을 사용하여 악의적으로 제작된 이미지를 여는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 색상 프로파일을 추가로 확인하여 이 문제를 해결합니다. 이 문제는 Mac OS X 시스템에는 영향을 미치지 않습니다. 이 문제를 보고한 사람은 VUPEN Vulnerability Research Team의 Sebastien Renaud입니다.

  • ImageIO

    CVE-ID: CVE-2009-2285

    사용 대상: Windows 7, Vista, XP

    영향: 악의적으로 제작된 TIFF 이미지를 보는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: ImageIO에서 TIFF 이미지를 처리할 때 버퍼 언더플로우가 발생합니다. 악의적으로 제작된 TIFF 이미지를 보는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 경계 검사를 통해 해결됩니다. Mac OS X v10.6 시스템의 경우 이 문제는 Mac OS X v10.6.2에서 해결되었고, Mac OS X v10.5 시스템의 경우에는 보안 업데이트 2010-001에서 해결되었습니다.

  • ImageIO

    CVE-ID: CVE-2010-0041

    사용 대상: Windows 7, Vista, XP

    영향: 악의적으로 제작된 웹 사이트를 방문하면 Safari 메모리에 있는 데이터가 웹 사이트로 전송될 수 있습니다.

    설명: ImageIO에서 BMP 이미지를 처리할 때 메모리 액세스가 초기화되지 않는 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 Safari 메모리에 있는 데이터가 웹 사이트로 전송될 수 있습니다. 이 문제는 향상된 메모리 처리 기능 및 BMP 이미지에 대한 추가 검증을 통해 해결됩니다. 이 문제를 보고한 사람은 Hispasec의 Matthew 'j00ru' Jurczyk입니다.

  • ImageIO

    CVE-ID: CVE-2010-0042

    사용 대상: Windows 7, Vista, XP

    영향: 악의적으로 제작된 웹 사이트를 방문하면 Safari 메모리에 있는 데이터가 웹 사이트로 전송될 수 있습니다.

    설명: ImageIO에서 TIFF 이미지를 처리할 때 메모리 액세스가 초기화되지 않는 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 Safari 메모리에 있는 데이터가 웹 사이트로 전송될 수 있습니다. 이 문제는 향상된 메모리 처리 기능 및 TIFF 이미지에 대한 추가 검증을 통해 해결됩니다. 이 문제를 보고한 사람은 Hispasec의 Matthew 'j00ru' Jurczyk입니다.

  • ImageIO

    CVE-ID: CVE-2010-0043

    사용 대상: Windows 7, Vista, XP

    영향: 악의적으로 제작된 TIFF 이미지를 처리할 때 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: TIFF 이미지를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 TIFF 이미지를 처리할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 처리 기능을 통해 해결됩니다. 이 문제를 보고한 사람은 Flying Meat의 Gus Mueller입니다.

  • PubSub

    CVE-ID: CVE-2010-0044

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 이상, Mac OS X Server v10.6.1 이상, Windows 7, Vista, XP

    영향: 쿠키를 차단하도록 Safari를 구성해도 피드를 보거나 업데이트할 때 쿠키가 설정될 수 있습니다.

    설명: RSS 및 Atom 피드에 의해 설정되는 쿠키를 처리할 때 구현 문제가 발생합니다. "쿠키 허용" 환경설정을 통해 쿠키를 차단하도록 Safari를 구성해도 피드를 보거나 업데이트할 때 쿠키가 설정될 수 있습니다. 이 업데이트에서는 피드를 업데이트하거나 열람할 때 해당 환경설정을 적용하기 때문에 이 문제가 해결됩니다.

  • Safari

    CVE-ID: CVE-2010-0045

    사용 대상: Windows 7, Vista, XP

    영향: 악의적으로 제작된 웹 사이트를 방문할 경우 임의 코드가 실행될 수 있습니다.

    설명: Safari에서 외부 URL 스키마를 처리할 때 문제가 발생하면 웹 페이지의 URL로 인해 로컬 파일이 열릴 수 있습니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 임의 코드가 실행될 수 있습니다. 이 업데이트에서는 향상된 외부 URL 검증 기능을 통해 문제를 해결합니다. 이 문제는 Mac OS X 시스템에는 영향을 미치지 않습니다. 이 문제를 보고한 사람 및 기관은 Billy Rios와 Microsoft Vulnerability Research(MSVR)입니다.

  • WebKit

    CVE-ID: CVE-2010-0046

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 이상, Mac OS X Server v10.6.1 이상, Windows 7, Vista, XP

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: WebKit에서 CSS format() 인수를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 CSS format() 인수 처리 기능을 통해 해결됩니다. 이 문제를 보고한 사람은 Google Inc.의 Robert Swiecki입니다.

  • WebKit

    CVE-ID: CVE-2010-0047

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 이상, Mac OS X Server v10.6.1 이상, Windows 7, Vista, XP

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: HTML 객체 요소 폴백 콘텐츠를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 참조 추적 기능을 통해 해결됩니다. 이 문제를 보고한 사람은 TippingPoint ZDI(Zero Day Initiative) 관련 team509의 wushi입니다.

  • WebKit

    CVE-ID: CVE-2010-0048

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 이상, Mac OS X Server v10.6.1 이상, Windows 7, Vista, XP

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: WebKit에서 XML 문서를 분석할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 참조 추적 기능을 통해 해결됩니다. 이 문제를 보고한 사람은 TippingPoint ZDI(Zero Day Initiative) 관련 team509의 wushi입니다.

  • Webkit

    CVE-ID: CVE-2010-0049

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 이상, Mac OS X Server v10.6.1 이상, Windows 7, Vista, XP

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: 텍스트가 오른쪽에서 왼쪽 방향으로 표시된 HTML 요소를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 참조 추적 기능을 통해 해결됩니다. 이 문제를 보고한 사람은 TippingPoint ZDI(Zero Day Initiative)에서 근무하는 team509의 wushi입니다.

  • WebKit

    CVE-ID: CVE-2010-0050

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 이상, Mac OS X Server v10.6.1 이상, Windows 7, Vista, XP

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: WebKit에서 잘못 중첩된 HTML 태그를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 참조 추적 기능을 통해 해결됩니다. 이 문제를 보고한 사람은 TippingPoint ZDI(Zero Day Initiative)에서 근무하는 team509의 wushi입니다.

  • WebKit

    CVE-ID: CVE-2010-0051

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 이상, Mac OS X Server v10.6.1 이상, Windows 7, Vista, XP

    영향: 악의적으로 제작된 웹 사이트에 방문하는 경우 중요한 정보가 공개될 수 있습니다.

    설명: WebKit에서 출처 간 스타일시트 요청을 처리할 때 구현 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 보호된 리소스의 콘텐츠가 다른 웹 사이트에 공개될 수 있습니다. 이 업데이트에서는 출처 간 요청이 진행되는 동안 로드된 스타일시트에 대해 추가 검증을 수행하여 문제를 해결합니다.

  • WebKit

    CVE-ID: CVE-2010-0052

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 이상, Mac OS X Server v10.6.1 이상, Windows 7, Vista, XP

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: WebKit에서 HTML 요소의 콜백을 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 참조 추적 기능을 통해 해결됩니다. 이 문제를 보고한 사람은 Apple입니다.

  • WebKit

    CVE-ID: CVE-2010-0053

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 이상, Mac OS X Server v10.6.1 이상, Windows 7, Vista, XP

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: CSS 표시 속성이 'run-in'으로 설정된 콘텐츠를 렌더링할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 참조 추적 기능을 통해 해결됩니다. 이 문제를 보고한 사람은 TippingPoint ZDI(Zero Day Initiative)에서 근무하는 team509의 wushi입니다.

  • WebKit

    CVE-ID: CVE-2010-0054

    사용 대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 이상, Mac OS X Server v10.6.1 이상, Windows 7, Vista, XP

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: WebKit에서 HTML 이미지 요소를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 참조 추적 기능을 통해 해결됩니다. 이 문제를 보고한 사람은 Apple입니다.

게시일: