2024-03-30 00:15 (토)
iOS12.2 업데이트에서 몇가지 심각한 취약점 패치돼
상태바
iOS12.2 업데이트에서 몇가지 심각한 취약점 패치돼
  • hsk 기자
  • 승인 2019.03.27 22:33
이 기사를 공유합니다

iphone-3.jpg
애플이 지난 월요일 iOS 12.2를 발표했다. 이번 업데이트에서 아이폰 5s 이상, 아이패드에어와 그 이후 버전, 아이팟 터치 6세대에 영향을 미치는 51개 보안 취약점이 패치되었다..

이번 달 애플이 패치한 대부분의 취약점은 웹 렌더링 엔진인 WebKit(웹킷)에 존재한다.웹킷은 애플운영체제에서 실행되는 많은 앱과 웹 브라우저에서 사용된다.

보안 권고문에 따르면 취약한 웹킷 기반 응용 프로그램을 사용해 악의적으로 제작된 웹 콘텐츠를 열면 원격 공격자가 임의 코드 실행, 주요 사용자 정보 공개, 샌드박스 제한 우회,범용 XSS 공격 등이 가능하다.

웹킷 취약점 중에는 CVE-2019-6222의 일관성 이슈가 있다.해당 이슈를 통해 악성 웹 사이트가 마이크 사용 중 표시 없이도 장치의 마이크에 잠재적으로 액세스할 수 있다.

애플의 ReplayKit API에서도 이와 유사한 CVE-2019-8566결함이 패치되었다. 사용자 경고 없이 장치 마이크에 액세스할 수 있었던 것이다. 이 이슈는 유효성 검사 강화를 통해 해결되었다.

애플은 또한 악성 웹 사이트가 다른 사이트의 컨텍스트에서 스크립트 실행 후 저장된 정보를 훔치거나 광범위한 온라인 공격을 수행할 수 있는 웹킷의 논리적 버그 CVE-2019-8503을 패치했다.

웹킷 문제 외에도 사용자가 악성 SMS 링크를 클릭하도록 유도하여 임의 코드 실행으로 이어질 수 있는 초기 iOS 버전의 심각한 결함도 존재했다. CVE-2019-8553으로 알려진 이 취약점은 아이폰 5 이상, 아이패드 에어 이상, 아이팟 터치 6세대 장치에 영향을 준다.

iOS 커널에서 CVE-2019-8527을 포함, 원격 공격자가 시스템이나 커널 메모리를 손상시킬 수 있는 총 6개의 취약점도 패치되었다.이 중 CVE-2019-8514는 권한 상승에 사용될 수 있고,나머지 4개 취약점들은 악성 앱이 메모리 레이아웃 읽기가 가능하도록 했다.

새롭게 패치된 취약점에 대한 기술 정보와 PoC 코드는 아직 제공되지 않았다.


-국내 최대 개인정보보호&정보보안 컨퍼런스 <G-PRIVACY 2019> 4월 10일 개최. 7시간 보안교육 이수 가능.

-사전등록: http://conf.dailysecu.com/conference/g-privacy/2019.html

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★