애플, 맥 OS X 전용 대량 보안 업데이트

애플이 28일(현지시간) 맥 OS X 및 맥 OS X 서버 전용으로 대량의 보안 업데이트를 릴리스 했다. 수정되는 40건 이상의 취약성 중에는 프로그램의 원격 조작이나 기밀 정보 누설로 연결되는 위험성 높은 취약성이 포함됐다.애플이 공개한 ‘보안 업데이트 2008-003’는 ‘맥 OS X v 10.4.11’과 ‘맥 OS X 서버 v 10.4.11’이 그 대상이다. 28일 공개된 최신 레오파드 ‘맥 OS X v 10.5.3’도 포함되어 있다. 업데이트가 수정하는 취약성 중 하나는 임의 코드 실행이나 예기치 못한 애플리케이션 종료를 일으키는 취약성으로, 영향을 받는 것은 AFP서버, 앱킷(AppKit), Apple Pixlet Video, ATS, 코어파운데이션, 코어그래픽스, 플래시플레이어플러그인, 헬프뷰어, 아이캘(iCal). 아이캘의 취약성을 찾아낸 코어시큐리티(Core Security)는 지난 주 아이캘의 취약성을 3개 발견했다고 발표한 바 있다.기밀 정보 누설로 연결될 위험이 있는 취약성의 영향을 받는 것은 CUPS, International Components for Unicode, CFNetwork. ‘사파리’로의 SSL 클라이언트의 인증 처리에 문제 생기는 것부터 악성 사이트를 방문했을 경우에 영향을 받는다. 다른 업데이트가 수정하는 취약성은 메일의 다른 유저의 권한을 이용한 정보 누설이나 파일 조작으로의 연결, 원격의 공격자에게 루비(Ruby) 관련의 임의 파일 참조, 싱글사인온시 ‘sso_util’에 제공된 패스워드의 누설 연결, 위키 서버가 유효한 서버가 관리하는 유저명을 원격지 공격자에게 누설하는 것, 악성파일 우려에도 불구하고 열람하기 전 유저에게 경고하지 않는 것 등이 있다.또 악의적 BMP나 GIF 화상을 참조해 기밀정보를 훔쳐가거나 악성 JPEG2000 화상을 열면서 예기치 못한 애플리케이션의 종료나 임의코드 실행으로 연결될 우려가 있는 취약성도 수정됐다.‘보안 업데이트 2008-003’와 ‘맥 OS X v 10.5.3’은 애플 다운로드 사이트에서 제공한다. @