Apple은 마침내 지난 주 iOS 및 iPadOS 17.4.1에 대해 조용히 추진한 신비한 업데이트에 대한 자세한 내용을 공개했습니다.
결과적으로 업데이트는 다음을 해결합니다. 새로운 취약점 원격 공격자가 영향을 받는 iPhone 및 iPad에서 임의의 코드를 실행할 수 있도록 하는 각 운영 체제에 있습니다.
취약한 라이브러리에 영향을 받는 Apple iOS 및 iPadOS 제품에는 iPhone XS 이상, iPad Pro 12.9인치 11세대 이상, iPad Pro XNUMX인치 XNUMX세대 이상, iPad Air XNUMX세대 이상, iPad mini XNUMX세대 이상이 있습니다. . 이러한 장치의 사용자는 다음과 같이 식별된 취약성으로 인한 위험을 완화할 수 있습니다. CVE-2024-1580 새로운 iOS 및 iPadOS 업데이트를 설치하면 됩니다.
Apple의 범위를 벗어난 쓰기 문제
CVE-2024-1580은 다양한 장치 및 플랫폼에서 AV1 비디오를 디코딩하기 위한 오픈 소스 라이브러리인 dav1d AV1의 범위를 벗어난 쓰기 문제에서 발생합니다. 이 취약점의 영향을 받는 두 가지 Apple iOS 및 iPadOS 구성 요소는 다양한 Apple 플랫폼에서 멀티미디어 데이터를 처리하기 위한 Core Media 프레임워크와 모바일 앱에서 라이브 오디오 및 비디오 피드 스트림을 지원하기 위한 회사의 WebRTC 구현입니다.
이번 주에 Apple은 iOS 및 iPadOS 업데이트 외에도 다음을 포함한 다른 제품에서 CVE-2024-1580을 해결하기 위한 업데이트도 발표했습니다. 사파리 웹 브라우저, 맥 OS 소노마 및 벤츄라, 및 그 비전 회사의 새로운 Vision Pro 헤드셋용 소프트웨어입니다. Apple의 업데이트는 회사가 iOS 17.4를 출시한 지 불과 몇 주 만에 이루어졌습니다.
Apple은 취약점을 발견하고 회사에 보고한 Google Project Zero 버그 사냥 팀의 연구원에게 감사를 표했습니다.
잠재적으로 위험한 결함?
보안 연구원 Paul Ducklin은 Apple의 지난 주에 결함에 대한 세부 정보를 공개하는 것을 주저함 회사가 해당 결함을 위험하다고 평가했을 가능성이 높다는 신호입니다.
"우리는 지난 주 첫 번째 수정 사항이 나왔을 때 Apple이 의도적으로 침묵한 것으로 보아 CVE-2024-1580 버그가 다른 플랫폼, 특히 macOS에 대한 패치가 게시되기 전에 문서화하는 것이 위험한 것으로 간주되었다고 추측하고 있습니다." 그는 블로그 포스트에 썼다.
또한 회사가 CVE-26-2024에 대해 1580월 XNUMX일에 발표한 기본 정보조차도 위협 행위자와 연구자들에게 업데이트를 리버스 엔지니어링하고 작동하는 익스플로잇을 개발하는 데 충분한 정보를 제공하는 것으로 간주한다고 Ducklin은 말했습니다. 그는 영향을 받는 장치를 사용하는 사용자와 조직에 iOS, iPadOS, macOS 및 기타 영향을 받는 소프트웨어의 최신 버전으로 즉시 업데이트할 것을 권고했습니다.
Google은 이 버그를 공격 복잡성이 높은 중간 심각도 문제로 평가했으며, 공격자가 버그를 악용하려면 낮은 수준의 권한만 필요하지만 성공하려면 로컬 네트워크에 액세스하거나 취약한 시스템에 물리적으로 가까이 있어야 한다는 점을 지적했습니다.
세 가지 Apple 제로데이 버그… 지금까지
2024년 현재까지 Google이 Project Zero 스프레드시트에 포함시킨 제로데이 버그 XNUMX개 중 XNUMX개는 Apple과 관련이 있습니다. 세 가지 버그에는 다음이 포함됩니다. CVE-2024-23222, Safari용 WebKit 브라우저 엔진의 원격 코드 실행 버그 CVE-2024-23225 및 CVE-2024-23296, Apple이 수정하기 전에 공격자가 iPhone 사용자를 대상으로 공격에 적극적으로 악용했던 iOS의 두 가지 커널 취약점입니다.
Google은 결함의 악용 가능성에 대한 추가 정보 또는 Project Zero 연구원이 실제 결함을 표적으로 삼는 악용 활동을 관찰했는지 여부에 대한 Dark Reading의 요청에 즉시 응답하지 않았습니다.
Google이 2024년 Project Zero 스프레드시트에 포함된 네 번째 제로데이는 다음과 같습니다. CVE-2024-0519는 Apple이 WebKit Safari 제로데이를 공개하기 며칠 전에 패치한 Chrome의 메모리 손상 버그로 적극적으로 공격을 받았습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/endpoint-security/apple-security-bug-opens-iphone-ipad-rce
