Home > 전체기사
애플, 이번 주 보안 업데이트 통해 50개 넘는 취약점 해결
  |  입력 : 2020-05-28 10:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
지난 주는 iOS와 iPadOS 등 모바일 환경에 중점을 둔 패치 이뤄지고
이번 주는 맥OS와 사파리 등 데스크톱 환경에 중점을 둔 패치 이뤄지고


[보안뉴스 문가용 기자] 애플이 이번 주 보안 업데이트를 발표했다. 맥OS와 사파리에서 발견된 취약점 50여 개를 해결하기 위해서다. 이 중 44개는 맥OS에서 발견됐다고 한다. 맥OS 카탈리나 10.15.5 버전을 통해 모든 취약점들이 해결됐다고 애플은 설명했다.

[이미지 = utoimage]


애플의 발표에 따르면 취약점이 발견된 요소들은 어카운트(Accounts), 에어드롭(AirDrop), 오디오(Audio), 블루투스(Bluetooth), 캘린더(Calendar) 이미지IO(ImageIO), 커널(Kernel), ksh, 패키지킷(PackageKit), 샌드박스(Sandbox), SQ라이트(SQLite), USB 오디오(USB Audio), 와이파이(Wi-Fi), zsh 등이라고 한다.

이 중 18개의 취약점은 맥OS 카탈리나에서 발견됐고, 그 외에는 맥OS 하이시에라, 맥OS 모하비에서도 고루 발견됐다. 각 OS에 대한 패치도 이번에 함께 이뤄졌다고 한다.

가장 많은 취약점이 발견된 OS 요소는 커널인 것으로 밝혀졌다. 총 10개의 커널 관련 취약점이 패치됐다. 그 다음은 와이파이로, 총 5개의 취약점이 발견됐다고 한다. 이 취약점들을 익스플로잇 할 경우 디도스 공격, 샌드박스 우회, 정보 노출, 임의 코드 실행, 권한 상승, 샌드박스 탈출, 메모리 유출, 셸 명령 실행 등을 할 수 있게 된다고 애플은 경고했다.

사파리 브라우저에서도 10개의 취약점이 발견됐고, 애플은 13.1.1 버전을 통해 모두 패치했다. 이 중 9개는 웹킷(WebKit) 요소에서 발견됐고, 임의 코드 실행, XXS, 프로세스 메모리 노출 등의 현상을 일으킨다고 한다.

맥OS 카탈리나의 윈도우 이송 도우미(Windows Migration Assistant) 기능의 2.2.0.0 버전도 이번 패치와 함께 발표됐다. 임의 코드 실행 공격으로 이어지는 취약점이 해결된 버전이라고 한다.

윈도우용 아이클라우드에서도 12개의 취약점이 발견돼 패치가 이뤄졌다. 이 취약점들을 익스플로잇 할 경우 임의 코드 실행, 디도스 공격, XXS 공격 등이 가능해진다고 한다. 윈도우 10 사용자들이라면 윈도우용 아이클라우드 11.2 버전을 설치하는 게 안전하고, 윈도우 7 및 그 이후 버전의 사용자라면 7.19 버전이 최신판이다.

약 1주일 전에는 iOS, tvOS, 워치OS, 엑스코드(Xcode)의 패치가 발표되기도 했었다. iOS 13.5와 iPadOS 13.5 버전을 통해 애플은 40개가 넘는 취약점을 해결했다. 하지만 아직 애플이 파악하지 못한 취약점이 이 버전에도 존재하는 것으로 보인다. 아이폰 탈옥 도구인 언커버(unc0ver)가 “제로데이 취약점을 통해 최신 버전 OS도 탈옥시켜준다”고 광고를 시작했기 때문이다.

이에 카네기 멜론 대학의 CERT 협력 센터(CERT Coordination Center, CERT/CC)는 “(언커버 개발팀이 말하는 제로데이) 취약점은 iOS 커널 내에 있으며, 익스플로잇 될 경우 악성 애플리케이션이 샌드박스를 우회해 커널 층위에서 코드를 실행할 수 있게 된다”고 경고했다. 해당 경고문은 여기(https://kb.cert.org/vuls/id/127371/)서 열람이 가능하다.

3줄 요약
1. 애플, 지난 주와 이번 주 자사 제품에 대한 패치 발표.
2. 이번 주에만 50개 넘는 취약점이 다뤄짐. 맥OS에서 거의 대부분 나타남.
3. 하지만 아직 ‘언커버’가 말하는 제로데이 취약점은 해결되지 않고 있음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)