애플의 iOS, iPadOS, macOS에서 사용자의 개인정보에 접근할 수 있게 하는 보안 취약점이 발견됐다.
이번에 발견된 취약점은 CVE-2023-23520, CVE-2023-23530, CVE-2023-23531 등 3개이며, Trellix ARC(Advanced Research Center)의 보안 연구원 Austin Emmitt에 의해 처음 알려졌다.
Trellix ARC 보안팀에 따르면, 공격자는 취약점을 통해 샌드박스 외부에서 상승된 권한을 얻어 임의 코드를 실행할 수 있다. 특히 CVE-2023-23531는 장치의 Foundation 구성 요소에서 발견된 문제다.
Trellix ARC 보안팀은 “코드 서명을 우회해 여러 플랫폼 애플리케이션의 컨텍스트에서 임의 코드를 실행해 macOS와 iOS에서 권한 상승 및 샌드박스 이스케이프를 발생시키는 취약점을 발견했다”라고 설명했다.
보안팀은 공격자가 취약점을 통해 장치의 개인정보에 접근할 수 있다고 지적했다. 또한 취약점을 통해 애플이 구현한 보안 조치를 우회해 제로 클릭 공격을 실행할 수 있으며 사용자의 메시지, 위치 데이터, 통화 기록, 사진 등 개인정보에 접근할 수 있다고 경고했다.
한편, 애플은 취약점을 발견한 후 패치를 실시했다. 메모리 처리를 개선한 iOS 16.3, iPadOS 16.3, macOS Ventura 13.2 버전을 출시해 문제를 해결했다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
