애플이 구형 아이폰과 아이패드를 타깃으로 하는 몇가지 웹킷(Webkit) 취약점을 수정하는 긴급 iOS 업데이트(12.5.4 패치)를 발표했다.

더불어 일부 취약점은 활발히 악용되었을 수 있다고 경고했다. Webkit은 애플에서 개발한 브라우저 엔진으로, 사파리 웹 브라우저를 포함한 모든 iOS 웹 브라우저에서 사용된다.

애플은 이전 모델 아이폰 기기를 대상으로 한 공격의 상세 내용에 대해서는 공개하지 않았다.

iOS 12.5.4 패치는 공격자가 취약한 기기에서 임의 코드를 실행하기 위해 악용할 수 있는 최소 3가지 취약점을 해결한다.

2가지 이슈 CVE-2021-30761과 CVE-2021-30762는 메모리 손상과 use-after-free 취약점으로, Webkit 렌더링 엔진에 존재한다. 이 두 결함은 iOS 12를 실행하는 기기 소유자를 속여, 특수 제작된 웹 콘텐츠를 방문하도록 유도하는 방식으로 악용할 수 있다.

애플은 보안 권고문을 통해 악의적으로 제작된 웹 콘텐츠를 통해 임의 코드가 실행될 수 있고, 해당 문제가 활발히 악용되었을 수 있다는 사실도 인지하고 있다고 밝혔다.

iOS 12.5.4는 iPhone 5s, iPhone 6, iPhone 6 플러스, iPad Air, iPad mini 2, iPad mini 3, iPod touch(버전6)에 존재하는 결함을 해결한다. 두 취약점은 모두 익명의 연구원이 보고했다.

이번 긴급 업데이트는 또한 CVE-2021-30737로 추적되는, ASN.1 디코더에 존재하는 메모리 손상 이슈 패치도 포함한다. 이 결함은 악의적으로 조작된 인증서를 처리하여 임의 코드를 실행하는데 악용될 수 있다.

---

◈ 국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 개최(MPIS 2021)

-개최일: 2021년 7월 6일(화)

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-참석대상: 국내 모든 의료기관 개인정보보호·정보보안 책임자 및 실무자 / IT시스템 관리자 / 의료 관련 공공기관 담당자 등 300여 명

-보안교육이수: 7시간 인정

-비용: 병원 및 의료 관련 공무원은 무료 참관 (이외 유료)

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★