5년 된 사파리 취약점, 구글에서 상세히 공개해

  |  입력 : 2022-06-21 11:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2013년에 발견됐다가 2016년 다시 부활한 취약점...2022년에 관리 번호 붙어

요약 : 애플의 사파리에서 5년 된 취약점이 발견됐다고 보안 외신 해커뉴스가 보도했다. 이 취약점은 2013년 처음 발견돼 수정됐으나 2016년 12월에 다시 문제가 됐다. 구글이 문제를 제기한 취약점은 CVE-2022-22620으로 CVSS 기준 8.8점을 받았고, 웹킷(WebKit) 요소에서 나타나는 UaF 취약점이라고 한다. 익스플로잇에 성공할 경우 공격자는 원격에서 임의의 코드를 실행할 수 있게 된다. 이미 해커들에 의해 제로데이 공격을 받고 있다.

[이미지 = utoimage]


배경 : 해당 취약점은 2013년에 이미 완전히 패치가 됐다. 하지만 2016년 리팩토링이 대규모로 진행되는 과정 중에 다시 살아났다. 그 사실을 보안 업계가 놓쳐왔고, 해커들만 알고 있었던 것이라고 한다. 이 때문에 2022년 1월 제로데이 취약점이라는 이름으로 다시 공개되고 패치되는 일이 반복됐다.

말말말 : “대규모 수정이나 재개발, 리팩토링 중에 과거 취약점이 되살아나는 경우는 꽤나 자주 있습니다. 2016년 애플은 10월과 12월에 이런 작업을 진행했는데, 당시 135개의 파일을 변경하고, 2236개의 파일을 수정했으며, 2550개의 파일을 삭제했습니다. 어마어마한 양이었죠.” -구글 프로젝트 제로-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)