iOS의 경우 버전 11.3.1에 대한 업데이트이고 iOS와 macOS에서 사용되는 디버깅 도구에 있는 취약점을 포함한 총 4개의 CVE에 대한 패치다.
해당 취약점 CVE-2018-4206은 Crash Reporter에 존재하는 취약점으로, 구글 프로젝트 제로 연구원 Ian Beer에 의해 발견되었다. 애플에 따르면 Crash Reporter의 에러 핸들링 취약점으로 인해 응용 프로그램이 권한 상승을 가능하게 하는 메모리 커럽션 오류를 발생시킬 수 있었다.
즉 디버거에 버그가 존재했고 버그가 있는 앱이 해당 디버거 버그를 통해 오류를 발생시킬 수 있었다는 것이다. 패치를 위해서는 iOS 11.3.1 또는 보안 업데이트 2018-001을 설치해야 한다.
iOS에서 패치된 다른 하나는 중국 텐센트(Tencent) 보안 연구원 Zhiyang Zeng과 Roman Muel-ler가 발견한 UI 스푸핑 취약점으로, CVE 번호는 CVE-2018-4187이다. Mueller가 설명했듯이 이 취약점은 iOS에서 최근 소개된 QR 코드 읽기 기능에 존재한다. 카메라가 QR 코드에서 URL을 스캔하고 제대로 리디렉션하지 못해 사용자를 스푸핑 또는 피싱 사이트로 연결시킬 수 있다.
마지막 iOS 업데이트는 WebKit에서 두 가지 메모리 커럽션 취약점을 해결한다. 프로젝트 제로의 Ivan Frantic와 Richard Zhu가 각각 보고한 CVE-2018-4200은 특수하게 조작된 웹 페이지에서 원격 코드 실행을 허용하는 취약점이다.
사파리 11.1에 존재하는 이 두가지 WebKit 버그는 애플 웹 브라우저가 엔진과 많은 취약점을 iOS와 공유하기 때문에 곧 패치될 것이다. El Capitan, Sierra 및 High Sierra를 실행하는 사용자는 Safari 업데이트를 받게된다.
마지막으로 High Sierra를 실행하는 macOS 10.13.4 사용자들은 2018-001보안 업데이트를 해야 한다. 이 업데이트는 CVE-2018-4187(QR 코드 판독기 버그) 및 CVE-2018-4206(Crash Reporter 취약점) 패치를 포함한다. 이외에 다른 보안 업데이트는 없었으므로 애플 워치나 애플 TV 사용자들은 패치를 찾지 않아도 될 것으로 보인다.
★정보보안 대표 미디어 데일리시큐!★
