애플이 몇가지 제로데이 취약점을 해결하기 위한 보안 업데이트를 발표했다. 이 중 하나는 악성 해커들이 아이폰 및 맥 기기를 대상으로 현실에서 활발히 악용 중인 것으로 밝혀졌다.

시큐리티어페어스 보도에 따르면, CVE-2022-22587로 추적되는, 패치된 제로데이 취약점 중 하나는 IOMobileFrameBuffer에 존재하는 메모리 커럽션 이슈로 iOS, iPadOS, macOS Monterey에 영향을 미친다. 이 취약점을 악용하면 손상된 기기에서 커널 권한으로 임의 코드 실행이 가능하다고 전했다.

애플의 보안 권고문은 “악성 앱이 커널 권한으로 임의 코드를 실행시킬 수 있다. 당사는 이 이슈가 활발히 악용 중이라는 사실을 인지하고 있다.”고 말한다.

애플 측은 입력값 유효성 검사를 통해 해당 결함을 수정했다. 취약점은 아이폰 6s와 그 이후 버전, 아이패드 프로 전 모델, 아이패드 에어 2와 이후 버전, 아이패드 5세대와 이후 버전, 아이패드 미니 4와 이후 버전, 아이팟 터치 7세대에 영향을 미친다.

애플은 결함을 보고한 MBition – Mercedes-Benz Innovation Lab의 Meysam Firouzi (@R00tkitSMM) 연구원, Siddharth Aeri (@b1n4r1b01) 연구원에게 감사를 표했다.

CVE-2022-22594로 추적되는 두번째 제로데이 취약점은 iOS와 iPadOS에 영향을 미치는 사파리 웹킷(WebKit) 이슈이다. 이 취약점을 통해 웹사이트는 사용자의 브라우징 활동과 신원을 실시간으로 추적할 수 있다.

권고문은 “이 IndexDB API의 교차 출처 문제는 입력 유효성 검사를 수정해 해결했다. 웹 사이트는가 민감한 사용자 정보를 추적할 수 있다.”고 설명한다.

해당 결함은 아이폰 6s와 그 이후 버전, 아이패드 프로 전 모델, 아이패드 에어 2와 이후 버전, 아이패드 5세대와 이후 버전, 아이패드 미니 4와 이후 버전, 아이팟 터치 7세대에 영향을 미친다.

★정보보안 대표 미디어 데일리시큐!★