iTunes 9.1의 보안 내용

이 문서에서는 iTunes 9.1의 보안 내용에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 릴리즈가 준비될 때까지 보안 문제를 공개, 토론 또는 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 대한 자세한 내용은 "Apple 제품 보안 PGP 키 사용 방법"을 참조하십시오.

가능한 경우 CVE ID를 사용하여 취약점에 대한 추가 정보를 참조할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 "Apple 보안 업데이트"를 참조하십시오.

iTunes 9.1

  • ColorSync

    CVE-ID: CVE-2010-0040

    사용 대상: Windows 7, Vista, XP

    영향: 내장된 색상 프로파일을 사용하여 악의적으로 제작된 이미지를 보는 경우 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: 내장된 색상 프로파일을 사용하여 이미지를 처리할 때 힙 버퍼 오버플로우를 일으킬 수 있는 정수 오버플로우가 발생합니다. 내장 색상 프로파일을 사용하여 악의적으로 제작된 이미지를 열 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 색상 프로파일을 추가로 확인하면 이 문제가 해결됩니다. 이 문제는 Mac OS X 시스템에는 영향을 미치지 않습니다. 이 문제를 보고한 사람은 VUPEN Vulnerability Research Team의 Sebastien Renaud입니다.

  • ImageIO

    CVE-ID: CVE-2009-2285

    사용 대상: Windows 7, Vista, XP

    영향: 악의적으로 제작된 TIFF 이미지를 보는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: ImageIO에서 TIFF 이미지를 처리할 때 버퍼 언더플로우가 발생합니다. 악의적으로 제작된 TIFF 이미지를 보는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 경계 검사를 통해 해결됩니다. Mac OS X v10.6 시스템의 경우 이 문제는 Mac OS X v10.6.2에서 해결되었고, Mac OS X v10.5 시스템의 경우에는 보안 업데이트 2010-001에서 해결되었습니다.

  • ImageIO

    CVE-ID: CVE-2010-0041

    사용 대상: Windows 7, Vista, XP

    영향: 악의적으로 제작된 웹 사이트를 방문하면 Safari 메모리에 있는 데이터가 웹 사이트로 전송될 수 있습니다.

    설명: ImageIO에서 BMP 이미지를 처리할 때 메모리 액세스가 초기화되지 않는 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 Safari 메모리에 있는 데이터가 웹 사이트로 전송될 수 있습니다. 이 문제는 향상된 메모리 처리 기능 및 BMP 이미지에 대한 추가 검증을 통해 해결됩니다. Mac OS X v10.6 시스템의 경우 이 문제는 Mac OS X v10.6.3에서 해결되었고, Mac OS X v10.5 시스템의 경우에는 보안 업데이트 2010-002에서 해결되었습니다. 이 문제를 보고한 사람은 Hispasec의 Matthew 'j00ru' Jurczyk입니다.

  • ImageIO

    CVE-ID: CVE-2010-0042

    사용 대상: Windows 7, Vista, XP

    영향: 악의적으로 제작된 웹 사이트를 방문하면 Safari 메모리에 있는 데이터가 웹 사이트로 전송될 수 있습니다.

    설명: ImageIO에서 TIFF 이미지를 처리할 때 메모리 액세스가 초기화되지 않는 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하면 Safari 메모리에 있는 데이터가 웹 사이트로 전송될 수 있습니다. 이 문제는 향상된 메모리 처리 기능 및 TIFF 이미지에 대한 추가 검증을 통해 해결됩니다. Mac OS X v10.6 시스템의 경우 이 문제는 Mac OS X v10.6.3에서 해결되었고, Mac OS X v10.5 시스템의 경우에는 보안 업데이트 2010-002에서 해결되었습니다. 이 문제를 보고한 사람은 Hispasec의 Matthew 'j00ru' Jurczyk입니다.

  • ImageIO

    CVE-ID: CVE-2010-0043

    사용 대상: Windows 7, Vista, XP

    영향: 악의적으로 제작된 TIFF 이미지를 처리할 때 응용 프로그램이 예기치 않게 중단되거나 임의 코드가 실행될 수 있습니다.

    설명: TIFF 이미지를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 TIFF 이미지를 처리할 때 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 처리 기능을 통해 해결됩니다. Mac OS X v10.6 시스템의 경우 Mac OS X v10.6.3에서 이 문제가 해결되었습니다. 이 문제는 Mac OS X v10.6 이전 시스템에는 영향을 주지 않습니다. 이 문제를 보고한 사람은 Flying Meat의 Gus Mueller입니다.

  • iTunes

    CVE-ID: CVE-2010-0531

    사용 대상: Mac OS X v10.4.11 이상, Mac OS X Server v10.4.11 이상, Windows 7, Vista, XP

    영향: 악의적으로 제작된 MP4 파일을 가져오면 서비스 거부가 발생할 수 있습니다.

    설명: MP4 파일을 처리할 때 무한 루프 문제가 발생합니다. 악의적으로 제작된 podcast로 인해 iTunes에서 무한 루프가 발생할 수 있고 재실행된 후에도 podcast가 동작하지 않을 수 있습니다. 이 문제는 향상된 MP4 파일 검증을 통해 해결됩니다. 이 문제를 보고한 사람은 Sourcefire VRT의 Sojeong Hong입니다.

  • iTunes

    CVE-ID: CVE-2010-0532

    사용 대상: Windows 7, Vista, XP

    영향: iTunes 설치 시 로컬 사용자가 시스템 권한을 획득할 수 있습니다.

    설명: Windows용 iTunes 설치 패키지에 권한 에스컬레이션 문제가 있습니다. 설치 중에 경쟁 조건으로 인해 로컬 사용자가 시스템 권한으로 실행되는 파일을 수정할 수 있게 됩니다. 이 문제는 설치 파일에 대한 향상된 액세스 제어를 통해 해결됩니다. 이 문제는 Mac OS X 시스템에는 영향을 미치지 않습니다. 이 문제를 보고한 사람은 NGSSoftware의 Jason Geffner입니다.

  •  

    iTunes

    CVE-ID: CVE-2010-1768

    사용 대상: Mac OS X v10.4.11 이상, Mac OS X Server v10.4.11 이상

    영향: 모바일 장비를 동기화하면 로컬 사용자가 상승된 권한을 얻을 수 있습니다.

    설명: 모바일 장비의 로그 파일을 처리할 때 파일에서 안전하지 않은 동작이 발생합니다. iPhone, iPad 또는 iPod touch를 동기화하면 로컬 사용자가 콘솔 사용자의 권한을 얻을 수 있습니다. 이 문제는 향상된 로그 파일 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 HEIG-VD의 Jon Passki와 Nicolas Seriot입니다.

  •  

    iTunes

    CVE-ID: CVE-2010-1795

    사용 대상: Windows 7, Vista, XP

    영향: 악의적으로 만들어진 디렉토리에서 파일을 열면 임의 코드가 실행될 수 있습니다.

    설명: iTunes에 경로 검색 문제가 발생합니다. iTunes는 현재 작업 디렉토리에서 특정 DLL을 검색합니다. 그런데 누군가가 디렉토리에 악의적으로 제작된 특정 이름의 파일을 두었을 때 사용자가 iTunes의 해당 디렉토리에서 또 다른 파일을 열면 임의 코드가 실행될 수 있습니다. 이 문제는 해당 DLL을 사용하는 코드를 제거하면 해결됩니다. 이 문제는 Mac OS X 시스템에는 영향을 미치지 않습니다. 이 문제를 보고한 사람은 ACROS Security의 Simon Raner입니다.

 

게시일: