애플, 치명적인 제로데이 취약점 해결 위한 업데이트 단행
상태바
애플, 치명적인 제로데이 취약점 해결 위한 업데이트 단행
  • 석주원 기자
  • 승인 2023.05.22 19:20
  • 댓글 0
이 기사를 공유합니다

(출처: 애플 홈페이지)

애플이 아이폰, 맥, 아이패드를 해킹하기 위해 악용되고 있는 제로데이 취약점 3개를 해결하기 위한 보안 업데이트를 단행했다.

CVE-2023-32409, CVE-2023-28204, CVE-2023-32373의 세 가지 취약점은 애플의 웹브라우저 개발 엔진인 웹키트에서 발견됐다.

• CVE-2023-32409: 원격 공격자가 웹 콘텐츠 샌드박스에서 벗어날 수 있다. 애플은 이 문제가 적극적으로 악용되었을 수 있다는 보고를 받았다. 구글 위협 분석 그룹의 Clément Lecigne와 국제사면위원회 보안 연구소의 Donncha Ó Cearbhaill이 이 결함을 발견해 보고했다. 애플은 해당 공격에 대한 세부 정보를 제공하지 않았지만, 세 가지 문제는 국가 관계자 또는 보안 회사에 의해 수행된 공격에서 악용되었을 가능성이 높다.

• CVE-2023-28204: 웹 콘텐츠를 처리하면 중요한 정보가 노출될 수 있다. 애플은 익명의 연구원으로부터 이 문제가 적극적으로 악용되었을 수 있다는 보고를 받았다.

• CVE-2023-32373: 악의적으로 조작된 웹 콘텐츠를 처리하면 임의 코드가 실행될 수 있다. 이 문제 역시 익명의 연구원이 발견해 애플에 전달됐다.

애플은 5월 1일, iOS 16.4.1 및 macOS 13.3.1용 RSR(Rapid Security Response) 패치로 CVE-2023-28204 및 CVE-2023-32373 취약점을 해결했으며, 최근 iOS와 iPadOS 16.5, tvOS 16.5, watch OS 9.5, Safari 16.5, macOS Ventura 13.4를 업데이트해 나머지 취약점도 수정했다.

이로써 애플은 2023년 초부터 실제 공격에 악용되는 6개의 제로데이 취약점을 해결했다. 지난 2월, 애플은 iOS, iPadOS 및 macOS에 영향을 미치는 CVE-2023-23529 제로데이 취약점을 해결하기 위한 긴급 보안 업데이트를 발표했다. 이 결함 역시 웹키트에서 발견됐으며, 공격자가 사용자를 속여 악의적으로 조작된 웹 콘텐츠를 방문하도록 함으로써 임의 코드를 실행할 수 있게 만들었다.

4월에는 아이폰, 맥 및 아이패드에 영향을 미치는 CVE-2023-28205 및 CVE-2023-28206의 제로데이 취약점을 해결하기 위한 긴급 보안 업데이트를 단행했다. CVE-2023-28205 결함은 웹키트에 있는 ‘Use After Free(UAF)’ 취약점으로, 이 취약점을 공격하면 임의 코드가 실행될 수 있다. 공격자는 사용자를 속여 악의적으로 조작된 웹 페이지에 접속하도록 할 수 있다. CVE-2023-28206 결함은 IOSurfaceAccelerator에서 발견된 Out-of-bounds 쓰기 문제였다.

 

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.