애플이 아이폰과 맥 사용자를 대상으로 한 공격에서 악용된 새로운 제로데이 취약점 세 개를 패치하기 위해 긴급 보안 업데이트를 발표했습니다. 이로써 올해 애플이 수정한 제로데이 취약점은 총 16개가 되었습니다. 두 개의 버그는 WebKit 브라우저 엔진(CVE-2023-41993)과 보안 프레임워크(CVE-2023-41991)에서 발견되었으며, 이를 통해 공격자들이 악성 앱을 사용하여 서명 검증을 우회하거나 악의적으로 제작된 웹페이지를 통해 임의의 코드를 실행할 수 있게 되었습니다.
세 번째 버그는 커널 프레임워크에서 발견되었는데, 이는 커널 확장과 커널 상주 장치 드라이버를 위한 API와 지원을 제공합니다. 로컬 공격자들은 이 결함(CVE-2023-41992)을 이용하여 권한을 상승시킬 수 있습니다. 애플은 macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1, watchOS 9.6.3/10.0.1에서 이 세 가지 제로데이 버그를 수정하였습니다.
이 취약점들은 토론토 대학교의 시민 연구소에서 빌 마르차크와 구글의 위협 분석 그룹에서 매디 스톤이 발견하고 보고하였습니다. 애플은 아직 이 취약점들이 어떻게 악용되었는지에 대한 추가적인 세부사항을 제공하지 않았지만, 시민 연구소와 구글 위협 분석 그룹의 보안 연구원들은 종종 고위험 개인들을 대상으로 한 표적형 스파이웨어 공격에서 악용된 제로데이 버그를 공개하였습니다.
요약
- 애플이 아이폰과 맥 사용자를 대상으로 한 공격에서 악용된 새로운 제로데이 취약점 세 개를 패치하기 위해 긴급 보안 업데이트를 발표하였다.
- 두 개의 버그는 WebKit 브라우저 엔진과 보안 프레임워크에서 발견되었으며, 세 번째 버그는 커널 프레임워크에서 발견되었다.
- 이 취약점들은 토론토 대학교의 시민 연구소에서 빌 마르차크와 구글의 위협 분석 그룹에서 매디 스톤이 발견하고 보고하였다.
- 애플은 아직 이 취약점들이 야생에서 어떻게 악용되었는지에 대한 추가적인 세부사항을 제공하지 않았다.
- 시민 연구소와 구글 위협 분석 그룹의 보안 연구원들은 종종 고위험 개인들을 대상으로 한 표적형 스파이웨어 공격에서 악용된 제로데이 버그를 공개하였다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.