2024-03-29 14:00 (금)
JPEG, PDF, 폰트 파일들로 맥과 아이폰, 아이패드 하이재킹 가능
상태바
JPEG, PDF, 폰트 파일들로 맥과 아이폰, 아이패드 하이재킹 가능
  • hsk 기자
  • 승인 2016.10.25 12:37
이 기사를 공유합니다

이 취약점 익스플로잇한 공격자들, 취약한 애플사 디바이스들 장악 가능해

애플이 iOS, MacOS, Safari 그리고 애플 워치와 TV 펌웨어에 존재하는 원격코드 실행 취약점을 패치했다. 이 취약점들을 익스플로잇한 공격자들은 취약한 디바이스들을 장악할 수 있다. 공격자들은 사용자가 악의적인 코드가 숨겨져 있는 JPEG나 PDF 파일을 열도록 유도하기만 하면 된다.

최근 배포된 iOS 10.1 버전은 아이폰, 아이패드와 아이팟 터치의 12개 CVE 넘버를 가진 보안 취약점들에 대한 패치를 포함하고 있다. 해당 취약점들에는 JPEG 이미지의 원격 코드 실행 취약점(CVE-2016-4673), WebKit에 존재하는 원격 코드 실행 취약점(CVE-2016-4677), 로컬 코드 실행 취약점, 그리고 주소 목록에 접근할 수 있는 취약점(CVE-2016-4686)이 포함되어 있다.

MacOS Sierra(10.12.1) 업데이트는 16개 CVE 넘버를 가진 보안 취약점들에 대한 패치를 포함한다. 이 중 CVE-2016-4673는 이미지 핸들링 버그와 원격 코드 실행 취약점으로 폰트 파일 취약점(CVE-2016-4667)과 PDF 파일 취약점(CVE-2016-4671)에 의해 작동된다. 또한 Nvidia 그래픽 카드 드라이버에 존재하는 분산 서비스 거부 공격 취약점(CVE-2016-4663)과 사용자 암호의 길이가 노출되는 취약점(CVE-2016-4670)도 포함한다.

iOS와 macOS에 대한 최신 패치는 CVE-2016-4635에 대한 것으로 이는 페이스타임에 대한 원격 오디오 도청 취약점이다. 애플은 iOS 10.1과 macOS Sierra에서 발견된 취약점이 무엇인지, 해당 패치가 이미 설치된 보안조치에 적용되었는지에 대해서는 밝히지 않고 있다.

Sierra나 이전 버전 OS X의 사파리 브라우저에서는 WebKit 취약점 3개가 패치되었다. 여기에는 웹 페이지 또는 애플리케이션에 원격 코드 실행이 가능하도록 하는 취약점(CVE-2016-4666, CVE-2016-4677) 2개와 위치 정보를 드러내는 취약점(CVE-2016-4676)이 포함되어 있다.

애플 워치 사용자들도 watchOS 3.1 버전 업데이트 권고를 받았다. 이번 업데이트에는 third-party 애플리케이션이 권한 없이도 음악 파일과 이미지 라이브러리를 열 수 있도록 하는 취약점(CVE-2016-4664, CVE-2016-4665)에 대한 패치가 포함되어 있다. 

애플 티비도 샌드박스 프로파일 취약점(CVE-2016-4664, CVE-2016-4665), WebKit 원격 코드 실행 버그(CVE-2016-4677), CoreGraphics JPEG 버그(CVE-2016-4673) 등 10개 취약점에 대한 패치와 업데이트를 진행했다.

◇공무원-일반기업 보안실무자 정보보호 교육이수 컨퍼런스 안내◇
공무원 정보보호 교육 이수 및 개인정보관리사자격(CPPG) 7시간 교육 이수 컨퍼런스 등록
-PASCON 2016 사전등록: www.dailysecu.com/conference/pascon/2016.html

★정보보안 & IT 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★