2024-03-28 22:05 (목)
애플, 맥과 애플워치 등 해킹에 사용된 제로데이 취약점 긴급 패치
상태바
애플, 맥과 애플워치 등 해킹에 사용된 제로데이 취약점 긴급 패치
  • hsk 기자
  • 승인 2022.05.19 17:52
이 기사를 공유합니다

애플이 위협 행위자가 Mac 및 애플워치 장치를 타깃으로 하는 공격에 악용할 수 있는 제로데이 취약점을 해결하는 보안 업데이트를 발표했다. 

브리핑컴퓨터에 따르면, 제로데이는 소프트웨어 공급 업체가 인식하지 못한, 패치되지 않은 보안 결함을 의미한다. 이러한 유형의 취약점은 패치되기 전에 공개적으로 사용 가능한 개념 증명 익스플로잇이 있거나 실제로 활발히 악용될 수 있다고 보도했다. 

애플은 월요일에 공개한 보안 권고문을 통해 해당 취약점이 “활발히 악용되었을 수 있다.”는 제보를 받았다고 밝혔다.

CVE-2022-22675로 추적되는 이 결함은 앱이 커널 권한으로 임의 코드를 실행할 수 있도록 하는 AppleAVD(오디오 및 비디오 디코딩용 커널 확장)의 범위를 벗어난 쓰기 취약점이다.

CVE-2022-22675는 익명의 연구원이 제보했고, 애플은 경계 값 체크를 통해 macOS Big Sur 11.6, watchOS 8.6, tvOS 15.5에서 해당 취약점을 수정했다.

영향 받는 기기는 Apple Watch Series 3 또는 그 이상 버전, macOS Big Sur를 실행하는 Mac, Apple TV 4K, Apple TV 4K(2세대), Apple TV HD이다.

애플은 in the wild에서 활발히 이루어진 exploitation에 대해 보고서를 공개했지만, 이에 대한 추가 세부 정보는 공개하지 않았다. 정보 공개를 보류하여 공격자가 제로데이 세부 정보를 파악하고 다른 공격에 익스플로잇을 적용하기 전에, 최대한 많은 애플 워치 및 Mac에 보안 패치 적용을 목표로 하고 있다.

이 제로데이 취약점은 타깃 공격에만 사용되었을 가능성이 높으나, 공격 시도를 차단하려면 가능한 빨리 최신 macOS 및 watchOS 보안 업데이트 설치가 권고된다.

이번 결함을 제외하고, 2022년에 애플은 5개 제로데이를 패치한 바 있다.


◆국내 최대 의료기관 정보보호 컨퍼런스 MPIS 2022 개최◆

-주최: 데일리시큐

-후원: 보건복지부·대한병원정보협회·대한병원정보보안협의회

-대상: 전국 국공립 의료기관, 대학병원 및 민간 대중소형 병원 개인정보보호, 정보보안 책임자·실무자, 정보보호 시스템 관리자 

-일시: 2022년 5월 24일 화요일 (오전9시~오후5시)

-장소: 더케이호텔서울 가야금홀 및 로비

-참석비용: 병원/의료 공공기관 관계자 무료참석

-의료기관 이외 관계자유료참석: 의료기관/의료분야 공공기관 이외 참석자는 11만원(VAT 포함)

-교육이수: 공무원 및 일반병원 담당자 정보보호 및 개인정보보호 교육 이수 7시간 인정(CPPG 7시간 인정)

-보안전시회: 국내·외 최신 개인정보보호/정보보안 솔루션 소개

-문의: 데일리시큐 길민권 기자(mkgil@dailysecu.com)

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★