애플이 아이폰, 아이패드, 맥 장치에 영향을 미치는 두 가지 제로데이 취약점을 해결하기 위한 긴급 보안 업데이트를 발표했다. 이 두 가지 취약점은 모두 웹킷 브라우저 엔진에서 발생하며, 현재 공격에 활발히 악용되고 있다.
CVE-2023-42916으로 추적된 첫 번째 취약점은 범위를 벗어난(out-of-bounds) 읽기로, 공격자는 피해자를 속여 특수하게 조작된 웹 콘텐츠를 방문하도록 유도하고 민감 정보를 유출할 수 있다.
권고문은 "애플은 iOS 16.7.1 이전 버전의 iOS에서 이 문제가 악용되었을 수 있다는 보고를 받았다." 고 설명한다. 애플은 입력 유효성 검사를 개선하여 해당 결함을 해결했다.
CVE-2023-42917로 추적된 두 번째 취약점은 메모리 손상 취약점이다. 공격자는 피해자를 속여 특수하게 조작된 웹 콘텐츠를 방문하도록 유도하고, 영향 받는 디바이스에서 임의 코드 실행이 가능하다. 애플은 잠금 기능을 수정하여 CVE-2023-42917를 패치했다.
두 취약점 모두 구글 위협 분석 그룹의 클레망(Clément Lecigne)이 발견하였고, 이들이 Google TAG에 의해 발견되었다는 것은 국가 배후 행위자 또는 감시 회사에 의해 악용되었음을 시사한다.
애플은 iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 및 사파리 17.1.2를 출시하여 해당 결함들을 해결했다.
이 취약들은 다음 장치에 영향을 미친다:
- iPhone XS 이상
- iPad Pro 12.9인치 2세대 이상, iPad Pro 10.5인치, iPad Pro 11인치 1세대 이상, iPad Air 3세대 이상, iPad 6세대 이상, iPad mini 5세대 이상
- macOS Monterey, Ventura, Sonoma를 실행하는 Mac
애플은 올 연초부터 19개의 제로데이 결함을 수정했습니다.
남아있는 17개 취약점들은 다음과 같다:
2023년 10월: CVE-2023-5217
2023년 9월: CVE-2023-41993, CVE-2023-41991, CVE-2023-41992
2023년 9월: CVE-2023-41064, CVE-2023-41061
2023년 7월: CVE-2023-37450, CVE-2023-38606
2023년 6월: CVE-2023-32434, CVE-2023-32435, CVE-2023-32439
2023년 5월: CVE-2023-32409, CVE-2023-28204, CVE-2023-32373
2023년 4월: CVE-2023-28206, CVE-2023-28205
2023년 2월: CVE-2023-23529
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★