|
3개의 제로데이 취약점을 해결한 애플 침해사고분석팀 2020.11.09 |
|
|
애플은 iOS 14.2를 출시하며 OS의 다양한 구성 요소에서 이미 약용되고 있던 제로데이 취약점 3가지를 포함한 24개의 취약점을 패치하였다. [링크 : https://support.apple.com/en-us/HT211929]
구글 프로젝트 제로(Zero)의 벤 호크스는 트윗을 통해 팀에서 발견한 제로데이를 "CVE-2020-27930(RCE), CVE-2020-27950(메모리 누출), CVE-2020-27932(커널 권한 상승)로 확인했다"고 밝혔다.
애플에 따르면 CVE-2020-27930은 아이폰6s 이후 폰트파서(FontParser)의 메모리 손상 결함, 아이팟 터치 7세대, 아이패드 에어 2 이상, 아이패드 미니 4 이상에 존재한다. 이 취약점을 통해 공격자는 "악의적으로 조작된 글꼴" 을 처리하여 임의 코드를 실행할 수 있다.
[출처 : https://twitter.com/benhawkes/status/1324422885830610944]
CVE-2020-27932는 type of confusion으로 인한 커널 오류로 분류된다. 공격자는 악성 앱을 이용하여 아이폰6s 이상, iPod touch 7세대 이상, iPad Air 2 이상, iPad mini 4 이상에서 발견된 이 취약점을 통해 커널 권한으로 임의 코드를 실행할 수 있다.
지난 2주 동안 구글이 데스크톱과 안드로이드 브라우저에서 제로데이를 패치한 직후 애플 또한 제로데이 패치를 발표하였다.
실제로 구글의 Threat Analysis Group에 따르면, 최근 패치 된 Apple 제로데이 결함은 크롬과 윈도우에서 발견된 익스플로잇 체인의 일부라고 한다.
출처 https://threatpost.com/apple-patches-bugs-zero-days/161010 |
