Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Apple, 공격에 자주 사용되는 iOS 제로데이 취약점 수정
작성일 2021-05-04 조회 28

 

 

 

Apple은 오늘 iPhone, iPad, iPod, macOS 및 Apple Watch 장치를 공격하는 데 사용된 Webkit 엔진의 두 가지 iOS 제로 데이 취약점을 수정하는 보안 업데이트를 발표했다. Apple은 오늘 발표한 여러 보안 권고에서 "이 문제가 적극적으로 악용되었을 수 있다는 것을 알고 있다." 라고 말했다.

 

Webkit은 Apple의 브라우저 렌더링 엔진으로, iOS의 모든 모바일 웹 브라우저와 Apple Mail 및 App Store와 같이 HTML을 렌더링하는 기타 응용 프로그램에서 사용한다. 이 취약점은 각각 CVE-2021-30665, CVE-2021-30663이며, 두 취약점 모두 취약한 장치에서 악성 웹 사이트를 방문하기만 하면 임의의 원격 코드 실행(RCE)을 허용한다.

 

CVE-2021-30665는 Qihoo 360 ATA의Yang Kang, zerokeeper, Bian Liang 이 발견했고, CVE-2021-30663은 익명의 연구원이 Apple에 보고했다.

 

영향을 받는 장치 목록은 다음과 같다.

 

* iPhone 6s 이상

* iPad Pro (모든 모델), iPad Air 2 이상, iPad 5 세대 이상, iPad mini 4 이상

* iPod touch (7 세대)

* macOS Big Sur

* Apple Watch Series 3 이상

 

 

제로 데이는 오늘 iOS 14.5.1, iOS 12.5.3, macOS Big Sur 11.3.1 및 watchOS 7.4.1 업데이트에서 Apple에 의해 해결됐다.

 

 

[ 그림1. iOS 14.5.1 업데이트 ]

 

 

 

 

이 업데이트는 사용자가 앱 내에서 앱 추적 투명성 프롬프트를 볼 수 없도록 하는 버그도 해결했다. Apple은 iOS 14.5.1 릴리스 노트에서 "이 업데이트는 이전에 설정에서 앱 추적 요청 허용을 비활성화 한 일부 사용자가 다시 활성화 한 후 앱에서 프롬프트를 받지 못할 수 있는, 앱 추적 투명성 관련 문제를 해결한다."라고 말했다.

 

Apple은 지난 몇 달 동안 익스플로잇에 많이 사용된 제로 데이 취약점을 처리해 왔으며, 지난달 macOS에서 수정된 취약점과 몇 달 전에 수정된 수 많은 다른 iOS 취약점을 포함한다.

 

 

 

 

 

출처

https://www.bleepingcomputer.com/news/apple/apple-fixes-2-ios-zero-day-vulnerabilities-actively-used-in-attacks/ 

https://support.apple.com/en-us/HT201222 

https://www.bleepingcomputer.com/news/security/apple-fixes-macos-zero-day-bug-exploited-by-shlayer-malware/ 

https://www.bleepingcomputer.com/news/security/apple-fixes-a-ios-zero-day-vulnerability-actively-used-in-attacks/

첨부파일 첨부파일이 없습니다.
태그 Apple  CVE-2021-30665  CVE-2021-30663