애플은 아이폰과 아이패드 사용자를 대상으로 한 공격에서 악용된 새로운 제로데이 보안 결함을 패치하기 위해 긴급 보안 업데이트를 발표했습니다. 애플은 이 문제가 iOS 16.6 이전 버전에 대해 활발하게 악용되었을 수 있다는 보고를 인지하고 있다고 수요일에 발표한 고지에서 밝혔습니다. 이 제로데이(CVE-2023-42824)는 XNU 커널에서 발견된 약점으로 인해 발생하며, 이로 인해 로컬 공격자가 패치되지 않은 아이폰과 아이패드에서 권한을 상승시킬 수 있습니다.

애플은 이 보안 문제를 개선된 검사를 통해 해결했다고 말했지만, 이 결함을 발견하고 보고한 사람이 누구인지는 아직 공개하지 않았습니다. 영향을 받은 기기의 목록은 상당히 광범위하며, 아이폰 XS 이후 모델, 아이패드 프로 12.9인치 2세대 이후 모델, 아이패드 프로 10.5인치, 아이패드 프로 11인치 1세대 이후 모델, 아이패드 에어 3세대 이후 모델, 아이패드 6세대 이후 모델, 그리고 아이패드 미니 5세대 이후 모델 등이 포함됩니다.

애플은 또한 CVE-2023-5217로 추적된 제로데이를 해결했는데, 이는 오픈 소스 libvpx 비디오 코덱 라이브러리의 VP8 인코딩에서 힙 버퍼 오버플로우 약점으로 인해 발생하며, 성공적인 악용 후에 임의의 코드 실행을 허용할 수 있습니다. 이 libvpx 버그는 이전에 구글이 크롬 웹 브라우저에서, 마이크로소프트가 엣지, 팀즈, 스카이프 제품에서 패치했습니다.

요약

- 애플은 아이폰과 아이패드 사용자를 대상으로 한 공격에서 악용된 새로운 제로데이 보안 결함을 패치하기 위해 긴급 보안 업데이트를 발표했다.
- 이 제로데이는 XNU 커널에서 발견된 약점으로 인해 발생하며, 이로 인해 로컬 공격자가 패치되지 않은 아이폰과 아이패드에서 권한을 상승시킬 수 있다.
- 애플은 또한 CVE-2023-5217로 추적된 제로데이를 해결했는데, 이는 오픈 소스 libvpx 비디오 코덱 라이브러리의 VP8 인코딩에서 힙 버퍼 오버플로우 약점으로 인해 발생하며, 성공적인 악용 후에 임의의 코드 실행을 허용할 수 있다.

Reference

https://www.bleepingcomputer.com/news/apple/apple-emergency-update-fixes-new-zero-day-used-to-hack-iphones/
https://www.bleepstatic.com/content/hl-images/2023/03/27/Apple.jpg

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*