제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

Apple의 비밀이 공개되었습니다. 3개의 제로데이가 수정되었으므로 지금 패치해야 합니다!

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 131
by 폴 덕린

압축형이지만 초고속 업데이트를 제공하는 Apple을 기억하십시오. XNUMX주 전에 쫓겨난, 2023-05-01에?

그 업데이트는 Apple의 최신 업데이트 중 첫 번째였습니다. 신속한 보안 대응 이를 통해 회사는 새 버전 번호로 이동하는 전체 크기의 운영 체제 업데이트를 거치지 않고 주요 시스템 구성 요소에 대한 중요한 패치를 푸시할 수 있습니다.

우리가 그 주 Naked Security 팟캐스트에서 숙고한 것처럼:

Apple은 방금 "신속한 보안 대응"을 도입했습니다. 사람들은 다운로드하는 데 몇 초가 걸리며 한 번의 매우 빠른 재부팅이 필요하다고 보고합니다. [하지만] [업데이트에 대해] 입을 다물고 있는 것은 입을 다물고 있습니다. 그것이 무엇에 관한 것인지 전혀 정보가 없습니다. 하지만 빠르고 좋았습니다!

어떤 사람들에게는 좋은

안타깝게도 이 새로운 Rapid Security Responses는 최신 버전의 macOS(현재 Ventura) 및 최신 iOS/iPadOS(현재 버전 16)에서만 사용할 수 있었습니다. 이로 인해 구형 Mac 및 iDevice 사용자와 Apple Watch 소유자가 남았습니다. 어둠 속에서 Apple TV.

새로운 신속한 패치에 대한 Apple의 설명은 모든 브라우저가 iPhone 및 iPad에서 사용해야 하는 웹 렌더링 엔진인 WebKit 및 Safari 브라우저와 같은 핵심 소프트웨어에 영향을 미치는 제로데이 버그를 일반적으로 처리할 것임을 암시했습니다.

기술적으로 Chrome 및 Edge처럼 Chromium 엔진을 사용하거나 Mozilla 브라우저처럼 Gecko 엔진을 사용하는 iPhone 또는 iPad 브라우저 앱을 만들 수 있지만 Apple은 앱 스토어에 앱을 허용하지 않습니다.

그리고 App Store는 Apple의 모바일 장치용 앱의 유일한 "벽으로 둘러싸인 정원" 소스이기 때문에 WebKit 방식이거나 절대 아닙니다.

치명적인 WebKit 버그가 다른 많은 애플리케이션의 버그보다 더 위험한 이유는 브라우저가 의도적으로 인터넷의 모든 위치에서 콘텐츠를 가져오는 데 시간을 보내기 때문입니다.

그런 다음 브라우저는 다른 사람의 웹 서버에서 원격으로 제공하는 이러한 신뢰할 수 없는 파일을 처리하고 볼 수 있고 클릭할 수 있는 콘텐츠로 변환하고 상호 작용할 수 있는 웹 페이지로 표시합니다.

웹캠 활성화, 장치에 이미 저장된 파일 읽기 또는 새 소프트웨어 설치와 같이 잠재적으로 위험한 것으로 간주되는 작업을 수행하기 전에 브라우저가 능동적으로 경고하고 명시적으로 허가를 요청할 것으로 기대합니다.

그러나 표시될 이미지, 표시될 비디오, 재생될 오디오 파일 등과 같이 직접적으로 위험한 것으로 간주되지 않는 콘텐츠도 자동으로 처리되어 제공될 것으로 기대합니다.

간단히 말해서 단지 방문 웹 페이지는 기기에 맬웨어가 삽입되거나, 데이터가 도난당하거나, 비밀번호가 유출되거나, 디지털 라이프가 스파이웨어에 노출되거나, 그러한 종류의 불법 행위를 당할 위험에 처하게 해서는 안 됩니다.

버그가 없다면

물론 WebKit에 버그(또는 전략적으로 결합할 수 있는 몇 가지 버그)가 있어서 의도적으로 이미지 파일, 비디오 또는 JavaScript 팝업을 준비하는 것만으로도 브라우저가 속아 무언가를 할 수 있는 경우가 아니라면 말입니다. 그러면 안됩니다.

사이버 범죄자, 스파이웨어 판매자, 탈옥범, 귀하를 좋아하지 않는 정부의 보안 서비스 또는 실제로 귀하에게 최악의 이익을 가진 사람이 이러한 종류의 악용 가능한 버그를 발견하면 사이버 보안을 손상시킬 수 있습니다. 전체 장치의…

...방문하기에 완벽하게 안전해야 하는 순진해 보이는 웹사이트로 사용자를 유인하는 것입니다.

음, Apple은 지원되는 모든 제품에 대한 전체 업데이트로 최신 Rapid Security Response 패치를 따랐고 해당 패치에 대한 보안 공지 중에서 Rapid Response가 무엇인지 마침내 알아냈습니다. 고치기 위해 거기.

XNUMX개의 제로데이:

  • CVE-2023-28204: 웹킷. 범위를 벗어난 읽기는 향상된 입력 유효성 검사를 통해 해결되었습니다. 웹 콘텐츠를 처리하면 민감한 정보가 공개될 수 있습니다. Apple은 이 문제가 적극적으로 악용되었을 수 있다는 보고를 알고 있습니다.
  • CVE-2023-32373: 웹킷. 해제 후 사용 문제는 향상된 메모리 관리를 통해 해결되었습니다. 악의적으로 제작된 웹 콘텐츠를 처리하면 임의 코드가 실행될 수 있습니다. Apple은 이 문제가 적극적으로 악용되었을 수 있다는 보고를 알고 있습니다.

일반적으로 말하자면, 이러한 종류의 두 가지 제로 데이가 WebKit에서 동시에 나타나면 범죄자가 두 단계 탈취 공격을 생성하기 위해 결합했을 가능성이 높습니다.

건드리면 안 되는 데이터를 덮어써서 메모리를 손상시키는 버그(예: CVE-2023-32373)는 항상 좋지 않지만 최신 운영 체제에는 이러한 버그가 버그가 있는 프로그램을 제어하기 위해 악용되는 것을 막는 것을 목표로 하는 많은 런타임 보호 기능이 포함되어 있습니다.

예를 들어, 운영 체제가 프로그램과 데이터가 메모리에서 끝나는 위치를 무작위로 선택하는 경우 사이버 범죄자는 공격하는 코드가 메모리에 배치되는 방식을 예측할 수 없기 때문에 취약한 프로그램을 충돌시키는 것 외에는 할 수 없는 경우가 많습니다. .

그러나 무엇이 어디에 있는지에 대한 정확한 정보가 있으면 투박하고 "크래시한" 익스플로잇이 때때로 "크래시 앤 유지 제어" 익스플로잇으로 바뀔 수 있습니다. 원격 코드 실행 구멍.

물론 공격자가 예상하지 못한 메모리 위치에서 읽을 수 있는 버그(예: CVE-2023-28204)는 데이터 유출 및 데이터 절도 악용으로 직접 이어질 수 있을 뿐만 아니라 간접적으로 "충돌 후 유지"로 이어질 수 있습니다. 제어” 공격, 프로그램 내부의 메모리 레이아웃에 대한 비밀을 밝히고 더 쉽게 장악할 수 있도록 합니다.

흥미롭게도 최신 업데이트에 패치된 세 번째 제로 데이가 있지만 이것은 Rapid Security Response에서 수정되지 않은 것으로 보입니다.

  • CVE-2023-32409: 웹킷. 이 문제는 향상된 경계 검사를 통해 해결되었습니다. 원격 공격자가 웹 콘텐츠 샌드박스를 탈주할 수 있습니다. Apple은 이 문제가 적극적으로 악용되었을 수 있다는 보고를 알고 있습니다.

상상할 수 있듯이 이 세 가지 제로데이를 결합하는 것은 공격자에게 홈런과 같습니다. 첫 번째 버그는 두 번째 버그를 안정적으로 악용하는 데 필요한 비밀을 드러내고 두 번째 버그는 세 번째 버그를 악용하기 위해 코드를 삽입할 수 있도록 합니다. …

...이 시점에서 공격자는 현재 웹 페이지의 "벽으로 둘러싸인 정원"을 점령했을 뿐만 아니라 전체 브라우저를 제어하거나 더 나쁜 경우입니다.

무엇을해야 하는가?

패치가 되었는지 확인하세요! (이동 설정 > 일반 > 소프트웨어 업데이트.)

2023년 XNUMX월 초에 이미 Rapid Security Response를 받은 장치도 여전히 패치해야 할 제로데이가 있습니다.

그리고 모든 플랫폼은 다음과 같은 다양한 공격에 악용될 수 있는 버그에 대한 다른 많은 보안 수정 사항을 받았습니다. 잠금 화면에서 개인 데이터에 액세스 귀하의 위치 정보를 무단으로 읽는 행위 다른 앱의 네트워크 트래픽 감시 그리고 더.

업데이트 후 다음 버전 번호가 표시되어야 합니다.

  • 워치OS: 지금 버전에서 9.5
  • tvOS : 지금 버전에서 16.5
  • iOS 15 및 iPadOS 15: 지금 버전에서 15.7.6
  • iOS 16 및 iPadOS 16: 지금 버전에서 16.5
  • macOS Big Sur : 지금 11.7.7
  • macOS Monterey : 지금 12.6.6
  • macOS 벤추라: 지금 13.4

중요 사항 : macOS Big Sur 또는 macOS Monterey가 있는 경우 가장 중요한 WebKit 패치는 운영 체제 버전 업데이트와 함께 번들로 제공되지 않지만 다음과 같은 별도의 업데이트 패키지로 제공됩니다. 사파리 16.5.

놀아라!

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.