애플 아이폰, 제로데이 취약점 해결 위한 긴급 업데이트 배포
상태바
애플 아이폰, 제로데이 취약점 해결 위한 긴급 업데이트 배포
  • 석주원 기자
  • 승인 2023.04.11 13:07
  • 댓글 0
이 기사를 공유합니다

애플이 아이폰과 아이패드, 맥(Mac)에 영향을 미치는 CVE-2023-28205와 CVE-2023-28206 제로데이 취약성을 해결하기 위한 긴급 보안 업데이트를 4월 8일 배포했다.

 

이번 제로데이 취약점에 영향을 받는 기기는 아래와 같다.
  -아이폰8 이상
  -iPad Pro(모든 모델)
  -iPad Air 3세대 이상
  -iPad 5세대 이상
  -iPad mini 5세대 이상
  -Mac에서 실행되는 MacOS Ventura

 

이번 취약점은 Google 위협 분석 그룹의 Clément Lecigne와 국제사면위원회 보안 연구소의 Donncha Ó Cearbhaill이 발견해 보고했다.

제로데이 CVE-2023-28205는 WebKit에 상주하며 임의 코드 실행할 수 있다. 공격자는 공격 대상자를 속여 악의적으로 조작된 웹페이지를 로드하여 이 결함을 실행한다.

애플은 "악의적으로 조작된 웹 콘텐츠를 처리하면 임의 코드가 실행될 수 있습니다. 애플은 이 문제가 적극적으로 악용되었을 수 있다는 보고서를 확인했습니다"라고 공지하고, 향상된 메모리 관리를 통해 이 결함을 해결했다.

또 다른 제로데이 취약점 CVE-2023-28206은 IOSurface Accelerator에 있는 Out-of-Bound 쓰기 문제다.

애플은 이 결함에 대해 "앱은 커널 권한으로 임의 코드를 실행할 수 있습니다. 애플은 이 문제가 적극적으로 악용되었을 수 있다는 보고서를 확인했습니다"라고 공지하고, 향상된 입력 검증을 통해 결함을 해결했다고 밝혔다.

애플의 이번 긴급 보안 업데이트 버전은 ▲MacOS Ventura 13.3.1 ▲iOS 16.4.1 ▲iPad OS 16.4.1 ▲Safari 16.4.1이다.

한편, 지난 2월 애플은 iOS, iPadOS 및 macOS에 영향을 미치는 CVE-2023-23529 제로데이 취약성을 해결하기 위한 긴급 보안 업데이트를 발표한 바 있다. 공격자는 공격 대상자를 속여 악의적으로 조작된 웹 콘텐츠를 방문하도록 함으로써 임의 코드를 실행할 수 있었다.

 

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.