애플, 실제 공격에 악용 중인 iOS 제로데이 취약점 3개 패치

Apple fixes three iOS zero-days exploited in the wild

 

애플이 실제 공격에 악용된 것으로 발견된 iOS용 제로데이 취약점 3개를 패치하는 보안 업데이트를 공개했습니다.

 

구글의 위협 분석 그룹 디렉터인 Shane Huntley에 따르면, 이 iOS 제로데이 취약점 3개는 최근 공개된 크롬 제로데이 취약점 3개 [1, 2, 3] 및 윈도우 제로데이 취약점과 관련이 있습니다.

 

이전과 마찬가지로 구글은 공격자 또는 공격 대상에 대한 자세한 정보를 밝히지는 않았습니다.

 

 

<이미지 출처: https://twitter.com/ShaneHuntley/status/1324431104187670529>

 

 

제로데이가 특정 타깃에만 사용되었는지, 아니면 불특정 다수에 사용되었는지는 알 수 없는 상태이지만 iOS 사용자는 iOS 14.2로 업데이트 하는 것이 안전합니다.

 

iPadOS 14.2와 watchOS 5.3.8, 6.2.9, 7.1에서 동일한 보안 버그가 패치되었으며, 구세대 iPhone용으로 백포팅된 iOS 12.4.9 또한 공개했습니다.

 

이 취약점을 발견해 애플에 제보한 구글 프로젝트 제로의 Ben Hawkes가 공개한 iOS 제로데이 취약점 3가지는 아래와 같습니다.

 

1. CVE-2020-27930 – iOS FontParser 컴포넌트의 원격 코드 실행 이슈, 공격자가 iOS 기기에서 원격으로 코드 실행 가능

2. CVE-2020-27932 – iOS 커널의 권한 상승 취약점, 공격자가 커널 수준 권한으로 악성코드 실행 가능

3. CVE-2020-27950 – iOS 커널의 메모리 누수 취약점, 공격자가 iOS 기기의 커널 메모리에서 콘텐츠 검색 가능

 

위 취약점 3가지 모두 익스플로잇 체인의 일부로 함께 사용되어 공격자가 iPhone 기기를 원격으로 해킹할 수 있는 것으로 추측됩니다.

 

 

 

 

출처:

https://www.zdnet.com/article/apple-fixes-three-ios-zero-days-exploited-in-the-wild/