Home > 전체기사
애플, 각종 소프트웨어 업데이트 발표하며 52개 취약점 해결
  |  입력 : 2019-12-12 11:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
52개 취약점 중 맥OS 카탈리나에서만 32개 발견돼...특히 tcpdump가 문제
여러 OS의 페이스타임에서도 문제 있어...최신 업데이트 통해 해결해야 안전


[보안뉴스 문가용 기자] 애플이 이번 주 맥OS 카탈리나(macOS Catalina), iOS, iPadOS, 사파리 등 자사 소프트웨어 제품들에서 발견된 다양한 취약점들을 패치했다.

[이미지 = iclickart]


이 중 가장 많은 패치가 이뤄진 건 맥OS 카탈리나였다. 총 52개의 취약점들이 카탈리나에서만 나왔다. 카탈리나 안에서도 가장 많은 취약점이 발견된 건 tcpdump라는 요소였다(32개). 애플은 tcpdump 4.9.3 버전을 통해 32개 취약점들을 전부 패치했고, 더불어 libpcap도 1.9.1 버전으로 최신화했다.

그 외에도 애플은 OpenLDAP에서 6개의 보안 버그도 패치했다. 최신 버전은 2.4.28이다. OS의 커널(Kernel)에서는 총 4개의 취약점이 해결됐고, 이를 통해 메모리 처리 원리가 향상되었다고 발표했다. ATS, 블루투스(Bluetooth), 콜킷(CallKit), CF네트워크 프록시즈(CFNetwork Proxies), 컵스(CUPS), 페이스타임(FaceTime), libexpat, 시큐리티(Security) 요소에서도 이런 저런 취약점들이 다뤄졌다.

이렇게 해결된 취약점들 중에는 시스템과 커널 권한을 가진 채 임의의 코드를 실행할 수 있게 해주는는 버그, 사용자의 정보를 노출시키는 버그, 권한 상승 버그, 제한 걸린 메모리 영역을 읽게 해주는 버그 등이 있었다. 카탈리나 10.15에서 발견된 취약점들 대부분 카탈리나에만 영향을 미치지만, 일부는 하이시에라 10.13.6과 모하비 10.14.6 버전에도 나타난다고 애플은 밝혔다.

iOS와 iPadOS에 적용될 패치들은 총 14개다. iOS는 12.4.4 버전으로 업데이트 됐으며, 아이폰 5, 6, 6 플러스, 아이패드 에어, 아이패드 미니 2, 아이패드 미니 3, 아이팟 터치 6세대에 해당된다. 이 중 페이스타임을 통한 임의 코드 실행 취약점이 가장 위험한 것으로 알려져 있다.

페이스타임의 취약점을 발견하고 애플에 보고한 건 구글 프로젝트 제로 팀의 나탈리 실바노비치(Natalie Silvanovich)다. 실바노비치는 과거에도 여러 차례 페이스타임에서 취약점을 발견해 애플에 보고한 바 있다.

iOS 13.3 버전과 iPadOS 13.3 버전 역시 새롭게 패치가 되어 등장했다. 아이폰 6 및 그 이후에 출시된 장비들, 아이패드 에어 2와 후속 제품군, 아이패드 미니 4와 후속 제품군, 아이팟 터치 7세대에 적용 가능한 OS다. 콜킷, CF네트워크 프록시즈, 페이스타임, IO서피스액셀러레이터(IOSurfaceAccelerator), IOUSB디바이스패밀리(IOUSBDeviceFamily), 커널, libexpat, 포토(Photos), 시큐리티(Security), 웹킷(WebKit) 요소들에서 주로 수정이 있었다.

취약점들은 1) 임의 코드 실행, 2) 오디오 및 비디오 데이터의 부적절한 공유, 3) 사용자 정보 노출, 4) 권한 상승 등으로 정리된다. 특정 상황에서 시리가 오작동하는 문제도 해결됐다고 한다.

애플왓치 1 및 이후 버전에 탑재된 왓치OS의 경우, 6.1.1 버전이 이번에 발표됐으며 10가지 취약점들이 해결되었다. 콜킷, CF네트워크 프록시즈, 페이스타임, IOUSB디바이스패밀리, 커널, libexpat, 시큐리티, 웹킷에서 취약점들이 발견됐다. tvOS 13.3 버전에서는 11개 취약점들에 대한 패치가 있었다. 세부 요소들은 애플왓치의 경우와 동일하다.

실바노비치는 왓치OS 5.3.4 버전의 페이스타임에서도 취약점을 발견했고, 애플은 이 오류도 이번에 수정했다.

새롭게 발표된 사파리 13.0.4에서는 웹킷의 취약점 두 개가 패치됐다. 둘 다 임의 코드 실행으로 이어질 수 있는 취약점이다. 엑스코드(Xcode) 11.3 버전의 경우는 ld64에서 발견된 임의 코드 실행 취약점이 더 이상 존재하지 않는다고 한다.

3줄 요약
1. 애플, 소프트웨어 제품군에서 발견된 다양한 취약점 패치.
2. 맥OS 카탈리나에서 가장 많은 취약점이 발견되었음.
3. 그 외 여러 OS의 페이스타임에서도 문제 해결됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)