애플이 iOS 15.0.2 배포와 함께 공격자가 민감한 사용자 정보에 접근할 수 있는 제로데이 취약점을 조용히 해결했다고 시큐리티어페어스가 보도했다.

이 결함은 7개월 전 소프트웨어 개발자 데니스 토카레브가 애플에 보고한 것이지만, 애플은 그의 공로를 인정하지 않은 것으로 보인다. 또한 그는 애플이 8월 25일에 수정 업데이트를 하겠다고 했으나 이후 애플로부터 어떠한 답변도 받지 못했다고 주장했다. 이는 애플이 자신의 취약점 보고를 인정하지 않고 수정한 두번째 취약점이라고 말했다.

iOS 15.0.2의 배포 후, 그는 애플에 연락해 과거 이메일을 통해 합의한 대로 문제를 발견한 공로를 인정해 달라고 요청했지만 애플 측은 대화를 공개하지 말라고만 요청했다.

연구원에 따르면 애플은 7월에 취약점 중 하나를 인정하지 않고 해결했고, 나머지 결함은 아직 해결되지 않았다고 한다.

연구원은 “애플 바운티 프로그램에 참여하면서 좌절한 경험을 공유하고 싶다. 지난 3월 10일부터 5월 4일까지 4개의 제로데이 취약점을 보고했다. 현재 그 중 3개는 최신 iOS 버전에 여전히 존재하며, 하나는 14.7에서 수정되었지만 애플은 이를 공개하지 않고 보안 컨텐츠 페이지에도 나열하지 않았다. 애플은 처리 문제로 인해 발생한 일이라며 다음 업데이트의 보안 컨텐츠 페이지에 올리겠다고 했다. 하지만 그 이후로 세번의 배포가 있었고 매번 약속을 어겼다”고 전했다.

아래는 그가 발견한 제로데이 PoC 코드가 포함된 깃헙 저장소 목록이며, 애플과도 공유되었다.

△Gamed 0-day △Nehelper Enumerate Installed Apps 0-day △Nehelper Wifi Info 0-day △Analyticsd (fixed in iOS 14.7)

이번주 애플은 CVE-2021-30883으로 추적되는 제로데이 결함을 해결하기 위해 iOS 15.0.2와 iPadOS 15.0.2를 출시했다.

이 결함은 IOMobileFrameBuffer에 있는 치명적인 메모리 손상 문제로, 애플리케이션이 취약점을 트리거해 커널 권한이 있는 취약한 장치에서 명령을 실행할 수 있다. 애플은 이를 악용한 공격에 대해 인지하고 있지만 세부 정보는 공유하지 않았고, 향상된 메모리 처리로 해당 이슈를 해결했다.

---

◈[PASCON 2021] 공공•금융•기업 정보보안&개인정보보호 컨퍼런스에 초대합니다.

-2022년 공공∙기업 정보보안책임자/실무자를 위한 최고의 컨퍼런스-

△주최: 데일리시큐

△참석대상: 공공기관•공기업•정부산하기관•금융기관•의료•교육•일반기업 개인정보보호 및 정보보호 담당자, IT담당자 등 1,000여 명 참석

(※위 관계자 이외 일반인은 참석 금지)

△일시: 2021년 11월 11일 목요일(오전9시~오후5시30분)

△장소: 더케이호텔서울 2층 가야금홀 전관

△솔루션전시회: 국내•외 최신 개인정보보호 및 정보보호 솔루션

△교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정

△사전등록: 클릭

△문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

★정보보안 대표 미디어 데일리시큐!★