애플, 2022년의 첫 번째 제로데이 취약점 2개 패치해

Apple fixed the first two zero-day vulnerabilities of 2022

 

애플이 제로데이 취약점 다수를 수정하기 위한 보안 업데이트를 발표했습니다. 이 중 하나는 iPhone 및 Mac 기기를 해킹하기 위해 실제 공격에서 활발히 악용되고 있는 것으로 나타났습니다.

 

CVE-2022-22587로 등록된 이 제로데이 취약점 중 하나는 IOMobileFrameBuffer에 존재하며 iOS, iPadOS, macOS Monterey에 영향을 미치는 메모리 손상 이슈입니다.

 

해당 취약점을 악용할 경우 해킹된 기기에서 커널 권한으로 임의 코드가 실행됩니다.

 

애플은 보안 권고를 통해 아래와 같이 밝혔습니다.

 

“악성 애플리케이션은 커널 권한으로 임의의 코드를 실행할 수 있습니다. 애플은 이 문제가 실제 공격에 활발히 악용되었을 가능성이 있다는 제보를 받았습니다.”

 

애플은 유효성 검사를 개선하는 방식으로 해당 취약점을 수정했습니다. 이 취약점은 iPhone 6s 이상, iPad Pro(모든 모델), iPad Air 2 이상, iPad 5세대 이상, iPad mini 4 이상, iPod touch(7세대)에 영향을 미칩니다.

 

Apple은 해당 취약점을 제보한 익명의 연구원, MBition(Mercedes-Benz Innovation Lab)의 Meysam Firouzi(@R00tkitSMM), Siddharth Aeri(@b1n4r1b01)에게 감사의 인사를 전했습니다.

 

 

<이미지 출처 : https://twitter.com/b1n4r1b01/status/1486418650311847936>

<이미지 출처 : https://twitter.com/R00tkitSMM/status/1486413226791297024>

 

 

CVE-2022-22594로 등록된 두 번째 제로데이 취약점은 iOS 및 iPadOS에 영향을 미치는 Safari WebKit 이슈입니다. 이 취약점으로 인해 웹사이트에서 사용자의 브라우징 활동 및 신상을 실시간으로 추적할 수 있습니다.

 

"IndexDB API의 교차 출처 이슈는 입력 유효성 검사를 개선하여 수정되었습니다.”

 

"웹사이트에서 민감한 사용자 정보를 추적하는 것이 가능할 수 있습니다."

 

이 취약점은 iPhone 6s 이상, iPad Pro(모든 모델), iPad Air 2 이상, iPad 5세대 이상, iPad mini 4 이상, iPod touch(7세대)에 영향을 미칩니다.

 

이 버그는 11월 28일 FingerprintJS의 Martin Bajanik가 처음으로 Apple에 제보했으며, Apple은 iOS 15.3 및 iPadOS 15.3 보안 업데이트를 공개해 해당 문제를 해결했습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/127240/hacking/apple-fixed-two-zero-day-2022.html

https://support.apple.com/ko-kr/HT213053