애플이 공격자가 아이폰, 아이패드, 아이팟, macOS 및 애플워치 장치에 사용하는 Webkit 엔진에서 악용된, 두 개 iOS 제로데이 취약점을 수정하는 보안 업데이트를 발표했다.

애플은 여러 보안 권고를 통해 “해당 이슈가 활발히 악용되었을 수 있다는 사실을 인지하고 있다.”고 언급했다.

웹킷은 애플의 브라우저 렌더링 엔진으로, iOS 모든 모바일 웹 브라우저와 애플 메일, 앱스토어와 같이 HTML을 렌더링하는 기타 응용 프로그램에서 사용된다.

취약점들은 CVE-2021-30665, CVE-2021-30663으로 추적되며 둘 다 악성 웹 사이트를 방문하기만 하면 사용자의 취약한 장치에서 임의 원격 코드 실행을 허용한다.

CVE-2021-30665는 중국 Qihoo(치후) 360 ATA의 Yang Kang, zerokeeper 및 Bian Liang이 발견했고, CVE-2021-30663은 익명의 연구원이 애플에 보고하였다.

영향을 받는 기기 목록은 다음과 같다.

△iPhone 6s와 그 이후 버전, iPad Pro(모든 모델), iPad Air 2와 그 이후 버전, iPad 5세대와 그 이후 버전, iPad mini 4와 그 이후 버전, iPod touch(7세대)

△macOS Big Sur

△애플 워치 시리즈 3과 그 이후 버전

이들 제로데이는 애플이 배포한 iOS 14.5.1, iOS 12.5.3, macOS Big Sur 11.3.1, 그리고 watchOS 7.4.1 업데이트를 통해 패치되었다.

또한 해당 업데이트는 사용자가 앱 내에서 앱 추적 투명성 프롬프트를 볼 수 없도록 하는 버그도 해결했다.

애플은 iOS 14.5.1 릴리즈 노트에서 “이번 업데이트는 이전 설정에서 앱 추적 요청 허용을 비활성화한 일부 사용자가 다시 활성화한 후 앱에서 메시지를 받지 못하는 문제를 해결했다”고 설명한다.

★정보보안 대표 미디어 데일리시큐!★