Home > 전체기사
애플, 각종 OS들에서 나타난 보안 취약점 해결하기 위해 패치 발표
  |  입력 : 2020-01-30 15:26
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
오디오, 이미지IO, 페이스타임 등 각종 요소에 고루 영향 주는 취약점들 있어
익스플로잇 성공하면 메모리 읽기, 힙 변형, 코드 실행 등 가능하게 돼


[보안뉴스 문가용 기자] 애플이 이번 주 수십 개의 보안 업데이트를 발표했다. iOS 13.3.1, 아이패드OS 13.3.1, 맥OS 카탈리나 등에서 발견된 여러 취약점을 해결하기 위해서다. 아이폰 6s 및 상위 버전, 아이패드 에어 2 및 상위 버전, 아이패드 미니 4 및 상위 버전, 아이팟 터치 7세대에 적용이 가능하다.

[이미지 = iclickart]


이번에 패치된 iOS 오류들은 여러 요소들에 영향을 주는 것으로 나타났다.
1) 오디오(Audio)
2) 페이스타임(FaceTime)
3) 이미지IO(ImageIO)
4) IO엑셀러레이터패밀리(IOAcceleratorFamily)
5) IPSec
6) 커널(Kernel)
7) libxpc
8) 메일(Mail)
9) 메시지(Messages)
10) 폰(Phone)
11) 사파리 로그인 오토필(Safari Login AutoFill)
12) 스크린샷(Screenshots)
13) wifivielocityd

익스플로잇에 성공할 경우 나타나는 결과들은 대부분 커널 및 시스템 권한 하에서의 임의 코드 실행이다. 그 외에는 메모리 유출, 커널 메모리 레이아웃 유출, 힙 변경, 권한 상승, 잠긴 화면으로부터 연락처에 접속 가능, 비밀번호 평문 전송 등과 같은 현상도 유발될 수 있다.

iOS 13.3.1 버전의 경우 U1 얼트라 와이드밴드(U1 Ultra Wideband) 칩의 위치 서비스 활용에 대한 제어 옵션도 추가됐다고 애플은 밝혔다. 사용자들은 이 옵션을 활용해 장비의 위치 확인 기능을 완전히 끌 수 있게 된다.

아이폰 5s, 아이폰 6, 아이폰 6 플러스, 아이패드 에어, 아이패드 미니 2, 아이패드 미니 3, 이아팟 터치 6세대를 위한 iOS 12.4.5 버전도 이번 주 발표됐다. 하지만 CVE에 대한 패치가 포함되어 있지는 않다고 한다.

이번에 발표된 맥OS 카탈리나 10.15.3 버전은 32개의 취약점 패치를 포함하고 있다. 그 외에 맥OS 모하비, 맥OS 하이 시에라에 대한 보안 업데이트도 일부 포함되어 있다고 한다. 현존하는 하이 시에라 10.13.6, 모하비 10.14.6, 카탈리나 10.15.2 버전에 적용이 가능하다.

이번에 패치된 맥OS 오류들은 여러 요소들에 영향을 주는 것으로 나타났다.
1) 어노테이션키트(AnnotationKit)
2) 오디오(Audio)
3) autofs
4) 코어블루투스(CoreBluetooth)
5) 크래시 리포터(Crash Reporter)
6) 이미지 프로세싱(Image Processing)
7) 이미지IO(ImageIO)
8) 인텔 그래픽스 드라이버(Intel Graphics Driver)
9) IO액셀러레이터패밀리(IOAcceleratorFamily)
10) IPSec
11) 커널
12) libxml2
13) limxpc
14) 패키지키트(PackageKit)
15) 시큐리티(Security)
16) 수도(sudo)
17) 시스템(System)
18) 와이파이(Wi-Fi)
19) wifivelocityd

애플은 위 취약점들을 성공적으로 익스플로잇 했을 때 코드 실행, 커널 메모리 레이아웃 유출, 제한 메모리 영역 읽기, 힙 변경, 파일 덮어쓰기, 게이트키퍼(Gatekeeper) 우회 등의 현상을 일으킬 수 있다고 경고했다.

왓치OS 6.1.2 역시 이번에 같이 발표됐다. 총 15개의 취약점들이 해결됐다. 다음 요소들에서 발견됐다.
1) 어노테이션키트(AnnotationKit)
2) 오디오(Audio)
3) 이미지IO(ImageIO)
4) IO액셀러레이터패밀리(IOAcceleratorFamily)
5) 커널(Kernel)
6) lixpc
7) wifivelocityd
코드 실행, 권한 상승, 힙 변경 등을 일으킬 수 있다고 애플은 밝혔다.

tvOS 13.3.1은 14개 취약점들에 대한 패치들을, 사파리 13.0.5는 2개 취약점들에 대한 패치를 포함하고 있다. 대부분 코드 실행, 비밀번호 평문 전송, 메모리 정보 유출과 같은 결과를 낳는 취약점들이라고 애플은 설명했다.

3줄 요약
1. 애플, 이번 주 수십 가지 취약점 패치하기 위해 여러 업데이트 배포.
2. 다양한 OS들에서 권한 상승, 정보 노출, 메모리 레이아웃 유출 등의 공격 가능케 해주는 취약점 해결됨.
3. 애플 사용자들의 패치 적용 필요함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)