CVE-2016-1784, CVE-2016-1785, CVE-2016-1786
CVE-2016-1787, CVE-2016-1788

[보안뉴스 문가용] 현지 시각으로 3월 23일, 우리나라 시간으로는 대략 23일에서 24일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2016-1784
Apple iOS 9.3 이전 버전과 사파리 9.1 이전 버전, tvOS 9.2 이전 버전의 WebKit에 있는 History의 취약점으로 원격의 공격자들이 조작된 웹 사이트를 통해 DoS 공격을 할 수 있게 해준다.

2. CVE-2016-1785
Apple iOS 9.3 이전 버전과 사파리 9.1 이전 버전의 WebKit에 있는 Page Loading의 취약점으로 캐시 데이터에 접근할 때 캐릭터 인코딩에서 오류가 난다. 그래서 원격의 공격자가 Same Origin Policy를 우회하고 민감한 정보에 접근할 수 있게 된다.

3. CVE-2016-1786
Apple iOS 9.3 이전 버전과 사파리 9.1 이전 버전의 WebKit에 있는 Page Loading의 취약점으로 3xx 상태 코드에 대한 HTTP 응답을 잘못 처리한다. 그래서 원격의 공격자가 노출된 URL을 스푸핑해 Same Origin Policy를 우회, 민감한 정보에 접근할 수 있게 된다.

4. CVE-2016-1787
Apple OS X Server 5.1 이전 버전의 Wiki Server에 있는 취약점으로 원격의 공격자가 Wiki 페이지를 통하여 민감한 정보를 얻을 수 있게 된다.

5. CVE-2016-1788
Apple iOS 9.3 이전 버전, OS X 10.11.4 이전 버전, watchOS 2.2 이전 버전의 Messages에 있는 취약점으로 암호화 보호 메커니즘을 제대로 적용하지 않는다. 원격의 공격자가 첨부된 메시지를 읽어 들일 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>