2022년 1월 26일 아이폰, 아이패드, Mac, 애플워치 등에 대한 애플의 소프트웨어 업데이트와 함께 다양한 보안 문제가 수정되었습니다.
iOS 15.3은 Safari 웹 브라우징 누출에서 악성 앱에 루트 권한을 부여할 수 있는 치명적인 결함을 포함해 10개의 보안 버그를 패치합니다.
iOS 15.3 및 macOS 12.2의 RC 버전과 함께 개발자와 공개 베타 테스터에게 베포되었을때 웹 브라우징 및 구글 계정 ID 결함이 패치된 것이 알려졌습니다.
애플은 이제 iOS 15.3, watchOS 8.4 등에 대한 문서에 보안 패치의 전체 목록을 자세히 설명했습니다.
macOS 12.2에는 동일한 수정사항이 포함될 수 있습니다.
Safari 웹 브라우징 결함 외에도 패치된 다른 보안 문제에는 루트 권한을 얻는 앱, 커널 권한으로 임의의 코드를 실행하는 기능, iCloud 버그를 통한 사용자 파일 액세스 등이 있습니다.
https://support.apple.com/en-us/HT213053
다음은 이번에 패치된 보안 문제였습니다.
ColorSync
대상: 아이폰6s 이상, iPad Pro(모든 모델), iPad Air 2 이상, iPad 5세대 이상, iPad mini 4 이상, iPod touch(7세대)
영향: 악의적으로 제작된 파일을 처리하면 임의 코드가 실행될 수 있음
설명: 메모리 손상 문제는 향상된 유효성 검사를 통해 해결되었습니다.
CVE-2022-22584: Trend Micro의 Mickey Jin(@patch1t)
Crash Reporter
대상: 아이폰6s 이상, iPad Pro(모든 모델), iPad Air 2 이상, iPad 5세대 이상, iPad mini 4 이상, iPod touch(7세대)
영향: 악성 응용 프로그램이 루트 권한을 얻을 수 있음
설명: 향상된 유효성 검사를 통해 논리 문제가 해결되었습니다.
CVE-2022-22578: 익명의 연구원
iCloud
대상: 아이폰6s 이상, iPad Pro(모든 모델), iPad Air 2 이상, iPad 5세대 이상, iPad mini 4 이상, iPod touch(7세대)
영향: 응용 프로그램이 사용자의 파일에 접근할 수 있음
설명: 심볼릭 링크에 대한 경로 유효성 검사 논리 내에 문제가 발생합니다. 이 문제는 개선된 경로 삭제를 통해 해결되었습니다.
CVE-2022-22585: Tencent Security Xuanwu Lab
https://xlab.tencent.com의 Zhipeng Huo(@R3dF09
IOMobileFrameBuffer
대상: 아이폰6s 이상, iPad Pro(모든 모델), iPad Air 2 이상, iPad 5세대 이상, iPad mini 4 이상, iPod touch(7세대)
영향: 악성 응용 프로그램이 커널 권한으로 임의 코드를 실행할 수 있습니다. 애플은 이 문제가 적극적으로 악용되었을 수 있다는 보고를 알고 있습니다.
설명: 메모리 손상 문제는 향상된 입력 유효성 검사를 통해 해결되었습니다.
CVE-2022-22587: MBition – Mercedes-Benz Innovation Lab,
Siddharth Aeri(@b1n4r1b01)의 익명 연구원 Meysam Firouzi @R00tkitSMM
Kernel
대상: 아이폰6s 이상, iPad Pro(모든 모델), iPad Air 2 이상, iPad 5세대 이상, iPad mini 4 이상, iPod touch(7세대)
영향: 악성 응용 프로그램이 커널 권한으로 임의 코드를 실행할 수 있음
설명: 버퍼 오버플로 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-2022-22593: STAR Labs의 Peter Nguyen Vu Hoang
Model I/O
대상: 아이폰6s 이상, iPad Pro(모든 모델), iPad Air 2 이상, iPad 5세대 이상, iPad mini 4 이상, iPod touch(7세대)
영향: 악의적으로 제작된 STL 파일을 처리하면 응용 프로그램이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음
설명: 정보 공개 문제는 향상된 상태 관리를 통해 해결되었습니다.
CVE-2022-22579: Trend Micro의 Mickey Jin(@patch1t)
WebKit
대상: 아이폰6s 이상, iPad Pro(모든 모델), iPad Air 2 이상, iPad 5세대 이상, iPad mini 4 이상, iPod touch(7세대)
영향: 악의적으로 제작된 메일 메시지를 처리하면 임의의 javascript가 실행될 수 있음
설명: 유효성 검사 문제는 향상된 입력 삭제를 통해 해결되었습니다.
CVE-2022-22589: KnownSec 404 Team(knownsec.com)의 Heige 및 Palo Alto Networks(paloaltonetworks.com)의 Bo Qu
WebKit
대상: 아이폰6s 이상, iPad Pro(모든 모델), iPad Air 2 이상, iPad 5세대 이상, iPad mini 4 이상, iPod touch(7세대)
영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 임의 코드가 실행될 수 있음
설명: 사용 후 무료 문제는 향상된 메모리 관리를 통해 해결되었습니다.
CVE-2022-22590: Sea Security 팀 Orca의 Toan Pham(security.sea.com)
WebKit
대상: 아이폰6s 이상, iPad Pro(모든 모델), iPad Air 2 이상, iPad 5세대 이상, iPad mini 4 이상, iPod touch(7세대)
영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 콘텐츠 보안 정책이 시행되지 않을 수 있음
설명: 논리 문제는 향상된 상태 관리를 통해 해결되었습니다.
CVE-2022-22592: Prakash(@1lastBr3ath)
WebKit Storage
대상: 아이폰6s 이상, iPad Pro(모든 모델), iPad Air 2 이상, iPad 5세대 이상, iPad mini 4 이상, iPod touch(7세대)
영향: 웹 사이트에서 민감한 사용자 정보를 추적할 수 있음
설명: IndexDB API의 출처 간 문제는 향상된 입력 유효성 검사를 통해 해결되었습니다.
CVE-2022-22594: FingerprintJS의 Martin Bajanik
WebKit
Prakash(@1lastBr3ath)의 도움으로 애플은 해당 버그를 패치했습니다.
#애플, #iOS, #iPadOS, #macOS, #watchOS, #15.3, #사파리, #보안패치,
애플, iOS, iPadOS, macOS, watchOS, 15.3, 사파리, 보안패치,
