Safari 5.0.1 및 Safari 4.1.1의 보안 내용 정보

이 문서에서는 Safari 5.0.1 및 Safari 4.1.1의 보안 내용에 대해 설명합니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 릴리즈가 준비될 때까지 보안 문제를 공개, 토론 또는 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 대한 자세한 내용은 "Apple 제품 보안 PGP 키 사용 방법"을 참조하십시오.

가능한 경우 CVE ID를 사용하여 취약점에 대한 추가 정보를 참조할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 "Apple 보안 업데이트"를 참조하십시오.

Safari 5.0.1 및 Safari 4.1.1

  • Safari

    CVE-ID: CVE-2010-1778

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상

    영향: 악의적으로 제작된 RSS 피드에 액세스하면 사용자 시스템의 파일이 원격 서버로 전송될 수 있습니다.

    설명: Safari의 RSS 피드 처리 시 크로스 사이트 스크립팅 문제가 발생합니다. 악의적으로 제작된 RSS 피드에 액세스하면 사용자 시스템의 파일이 원격 서버로 전송될 수 있습니다. 이 문제는 향상된 RSS 피드 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Google 보안 팀의 Billy Rios입니다.

  • Safari

    CVE-ID: CVE-2010-1796

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상

    영향: Safari의 자동 완성 기능을 사용하면 사용자의 의사 확인 없이도 정보가 웹 사이트에 공개될 수 있습니다.

    설명: Safari의 자동 완성 기능은 Mac OS X 주소록, Outlook 또는 Windows 주소록에서 지정한 정보를 사용하여 웹 양식을 자동으로 작성할 수 있습니다. 설계상의 특징에 따르면 웹 양식 내에서 자동 완성 기능이 작동되려면 사용자의 동작이 있어야 합니다. 악의적으로 제작된 웹 사이트에서 사용자의 의사에 대한 확인 없이 자동 완성 기능을 실행하도록 허용할 때 구현 문제가 발생합니다. 이렇게 되면 사용자의 주소록 카드에 담긴 정보가 공개될 수 있습니다. 이 문제가 발생하려면 다음 2가지 상황이 충족돼야 합니다. 우선, Safari 환경설정에서 자동 완성 기능 아래로 "주소록에서 정보를 사용하여 웹 양식을 자동 완성" 체크상자가 선택되어 있어야 합니다. 다음으로, 사용자의 주소록에 "나의 카드"로 지정된 카드가 있어야 합니다. 해당 특정 카드의 정보만 자동 완성 기능을 통해 액세스됩니다. 이 문제는 사용자의 동작 없이 자동 완성 기능에서 정보를 사용하는 것을 금지하면 해결됩니다. iOS를 실행하는 장비는 영향을 받지 않습니다. 이 문제를 보고한 사람은 WhiteHat Security의 Jeremiah Grossman입니다.

  • WebKit

    CVE-ID: CVE-2010-1780

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: WebKit에서 요소가 집중되는 것을 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 요소 집중 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Google, Inc.의 Tony Chang입니다.

  • WebKit

    CVE-ID: CVE-2010-1782

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: WebKit에서 인라인 요소를 렌더링할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 경계 검사를 통해 해결됩니다. 이 문제를 보고한 사람은 team509의 wushi입니다.

  • WebKit

    CVE-ID: CVE-2010-1783

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: WebKit에서 텍스트 노드의 동적 변경을 처리하는 과정에서 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결됩니다.

  • WebKit

    CVE-ID: CVE-2010-1784

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: WebKit에서 CSS 카운터를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결됩니다. 이 문제를 보고한 사람은 TippingPoint ZDI(Zero Day Initiative)에서 근무하는 team509의 wushi입니다.

  • WebKit

    CVE-ID: CVE-2010-1785

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: WebKit에서 SVG 텍스트 요소의 :first-letter 및 :first-line 의사(pseudo) 요소를 처리할 때 메모리 액세스가 초기화되지 않는 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 SVG 텍스트 요소의 :first-letter 및 :first-line 의사(pseudo) 요소를 렌더링하면 해결됩니다. 이 문제를 보고한 사람은 TippingPoint ZDI(Zero Day Initiative)에서 근무하는 team509의 wushi입니다.

  • WebKit

    CVE-ID: CVE-2010-1786

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: WebKit에서 SVG 도큐먼트의 foreignObject 요소를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 SVG 도큐먼트의 추가 인증을 통해 해결됩니다. 이 문제를 보고한 사람은 TippingPoint ZDI(Zero Day Initiative)에서 근무하는 team509의 wushi입니다.

  • WebKit

    CVE-ID: CVE-2010-1787

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: WebKit에서 SVG 도큐먼트의 플로팅 요소를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 메모리 관리를 통해 해결됩니다. 이 문제를 보고한 사람은 TippingPoint ZDI(Zero Day Initiative)에서 근무하는 team509의 wushi입니다.

  • WebKit

    CVE-ID: CVE-2010-1788

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: WebKit에서 SVG 도큐먼트의 'use' 요소를 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 SVG 도큐먼트의 'use' 요소에 대한 향상된 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Google, Inc.의 Justin Schuh입니다.

  • WebKit

    CVE-ID: CVE-2010-1789

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: WebKit에서 JavaScript 문자열 객체를 처리할 때 힙 버퍼 오버플로우가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 경계 검사를 통해 해결됩니다. 이 문제를 보고한 사람은 Apple입니다.

  • WebKit

    CVE-ID: CVE-2010-1790

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: WebKit에서 임시 컴파일 JavaScript 스터브를 처리할 때 재입력 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 동기화를 통해 해결됩니다.

  • WebKit

    CVE-ID: CVE-2010-1791

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: WebKit에서 JavaScript 배열을 처리할 때 signedness 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 JavaScript 배열 인덱스 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Natalie Silvanovich입니다.

  • WebKit

    CVE-ID: CVE-2010-1792

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: WebKit에서 정규 표현식을 처리할 때 메모리 손상 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 향상된 정규 표현식 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 Szeged 대학의 Peter Varga입니다.

  • WebKit

    CVE-ID: CVE-2010-1793

    대상: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 이상, Mac OS X Server v10.6.2 이상, Windows 7, Vista, XP SP2 이상

    영향: 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다.

    설명: WebKit에서 SVG 도큐먼트의 "font-face" 및 "use" 요소를 처리할 때 use-after-free 문제가 발생합니다. 악의적으로 제작된 웹 사이트를 방문하는 경우 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있습니다. 이 문제는 SVG 도큐먼트의 "font-face" 및 "use" 요소에 대한 향상된 처리를 통해 해결됩니다. 이 문제를 보고한 사람은 OUSPG의 Aki Helin입니다.

게시일: