애플, 긴급 패치로 활발히 악용되는 제로데이 취약점 수정

Apple issues emergency patches to fix actively exploited zero-days

 

애플이 아이폰, 아이패드, 맥 기기를 해킹하는데 활발히 악용되는 제로데이 취약점 2개를 해결하는 긴급 보안 패치를 공개했습니다.

 

CVE-2022-22674로 등록된 첫 번째 제로데이 취약점은 인텔 그래픽 드라이버에 있는 out-of-bounds 읽기 문제로, 악성 앱이 커널 메모리를 읽을 수 있도록 허용할 수 있습니다.

 

애플은 권고문을 통해 아래와 같이 밝혔습니다.

 

“out-of-bounds 읽기 문제로 인해 커널 메모리가 공개될 수 있었으며, 입력 유효성 검사를 개선하여 해결했습니다. 애플은 해당 이슈가 활발히 악용되었다는 제보를 받았습니다.”

 

CVE-2022-22675로 등록된 두 번째 제로데이는 AppleAVD 미디어 디코더에 영향을 미치는 out-of-bounds 쓰기 문제입니다. 악용될 경우 커널 메모리를 읽을 수 있게 되어 앱이 커널 권한으로 임의 코드를 실행할 수 있도록 허용할 수 있습니다.

 

"애플리케이션이 커널 권한으로 임의 코드를 실행할 수 있었습니다."

 

“out-of-bounds 쓰기 문제는 범위 검사 개선시켜 해결되었습니다. 애플은 해당 이슈가 활발히 악용되었다는 제보를 받았습니다.”

 

이 두 제로데이 취약점은 익명 연구원이 제보했으며, 애플은 iOS 15.4.1, iPadOS 15.4.1, macOS Monterey 12.3.1를 공개해 이를 해결했습니다.

 

하지만 실제 공격에서 취약점이 악용된 것에 대한 자세한 정보는 공개하지 않았습니다.

 

사용자들은 가능한 빠른 시일 내 보안 업데이트를 설치할 것을 권고합니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/129672/security/apple-emergency-patches-zero-days.html

https://support.apple.com/en-us/HT213220