본문 바로가기 주메뉴 바로가기 검색 바로가기
iOS·크롬·윈도·줌, 당장 업데이트하라
상태바
iOS·크롬·윈도·줌, 당장 업데이트하라
구글은 안드로이드 패치 36종을 배포했으며, 시스코는 심각한 보안 문제 3가지를 수정했다. VM웨어는 2가지 심각한 결함을 끝낸다.
By KATE O'FLAHERTY, WIRED UK

2022년 5월은 보안 업데이트 부문에서 바쁜 또 다른 시기였다. 구글의 크롬 브라우저와 안드로이드 운영체제, 줌(Zoom), 애플의 iOS 모두 패치 배포를 통해 심각한 보안 취약점을 수정했다.

반면, 2022년 5월 한 달 동안 보안 재앙이 발생한 패치 화요일(Patch Tuesday) 이후 독자적 데이터 전송 네트워크 업데이트를 배포할 수밖에 없는 문제를 직면한 마이크로소프트의 상황은 제법 순탄했다. 시스코(Cisco)와 엔비디아(Nvidia), 줌, VM웨어(VMWare) 모두 보안 결함을 진압할 패치를 배포했다.

5월 보안 패치와 관련, 알아야 할 사항을 아래와 같이 전달한다.
 
[사진=Unsplash]
[사진=Unsplash]

애플 iOS 및 아이패드OS 15.5, 맥OS 빅서 11.6.6, tvOS 15.5, 워치OS 8.6
애플이 2022년 6월, 세계 개발자 컨퍼런스(WWDC) 현장에서 iOS16 발표를 앞둔 가운데, iOS15에는 최신 주요 업데이트일 수 있는 패치 작업을 진행했다. 새로운 기능을 몇 가지 추가했으나 iOS15와 아이패드OS(iPadOS) 15.5는 일부 심각한 취약점을 포함한 보안 취약점 34가지를 수정했다.

애플 지원 페이지에 명시된 바와 같이 아이패드15.5의 보안 수정 사항 중에는 커널(Kernel)의 결함과 웹킷(WebKit) 브라우저 엔진 결함이 포함되었다. 다행히도 애플은 iOS15와 아이패드15.5 패치 대상 중 사이버 공격에 악용된 문제는 없었다고 밝혔다. 그러나 이는 업데이트가 필요하지 않다는 의미는 아니다.

반면, 맥OS와 tvOS, 애플워치 사용자는 즉시 기기를 업데이트해야 한다. 애플도 사이버 공격에 악용된 사실을 발견한 문제의 긴급 패치 업데이트를 배포했기 때문이다. CVE-2022-22675라고 알려진 애플 AVD(Apple AVD)의 결함은 앱이 커널 특권을 가진 채로 코드를 실행하도록 할 수 있다. 커널의 보안 문제는 심각하므로 당장 기기 보안을 확인하고 업데이트해야 한다.

마이크로소프트의 실패한 패치 화요일
마이크로소프트의 5월 패치 화요일은 마이크로소프트가 주기적으로 배포한 보안 업데이트를 설치한 채로 부지런하게 사업을 운영하는 기업에 재앙과 같은 문제를 일으켰다.

5월 10일(현지 시각), 마이크로소프트는 75가지 취약점을 수정한 보안 업데이트를 배포했다. 그중 8가지 취약점은 문제가 심각했으며, 3가지는 실제 사이버 공격에 동원됐다. 5월 한 달간 패치 화요일을 통해 수정한 문제는 중요하다. 그러나 최신 보안 업데이트 설치 후 인증 실패 문제가 보고되는 등 일부 사용자에게 문제를 일으켰다. 또, 윈도 플랫폼 클라이언트와 서버 사용자, 윈도 11과 윈도 서버 2022(Windows Server 2022) 등 모든 윈도 버전을 운영하는 시스템 사용자에게 영향을 미쳤다.

마이크로소프트는 문제 해결을 위해 5월 20일(현지 시각), 윈도10과 윈도11, 윈도 서버 2008, 2012, 2016, 2019, 2022의 독자적 데이터 전송 네트워크 업데이트를 배포할 수밖에 없었다. 업데이트는 자동 설치 사항이 아니므로 마이크로소프트 업데이트 카탈로그에서 직접 내려받아야 한다.

파이어폭스 100.0.2
5월 초, 모질라(Mozilla) 재단이 파이어폭스100(Firefox 100)을 배포했다. 파이어폭스100은 파이어폭스 브라우저의 보안 문제 9가지를 수정했으며, 그중 7개는 위험 등급이 매우 심각한 수준으로 기록됐다. 그러나 5월 말, 벤쿠버에서 개최된 Pwn20주 대회에 참가한 윤리적 해커 집단이 해커 세력의 파이어폭스100 실행 기기에서 자바스크립트 코드를 실행할 수 있는 방법을 입증했다. 이에, 모질라재단은 파이어폭스 100.0.2와 파이어폭스 ESR91.9.1, 파이어폭스 안드로이드 100.3, 썬더버드 91.9.1 등 또 다른 보안 업데이트를 통해 문제를 수정했다. 업데이트 버튼을 클릭하여 보안 업데이트를 마치기를 바란다.

안드로이드
5월의 안드로이드 보안 업데이트 사항은 중요하다. 안드로이드는 이미 해커 세력이 악용한 문제를 포함한 취약점 36개를 수정했다. 안드로이드에서 악용 사례가 발견된 결함은 더티 파이프(The Dirty Pipe)라는 이름으로 알려진 리눅스 커넬(Linux Kernel)의 특권 강화 버그이다.

안드로이드12 이후 버전을 운영하는 최신 안드로이드 기기에 영향을 미친 더티 파이프는 구글이 2022년 2월, 한 차례 공개했으나 기기를 연구하는 데 오랜 시간이 걸렸다.

5월 배포된 또 다른 안드로이드 보안 수정 사항 중에는 퀄컴 구성요소의 심각한 보안 취약점 15가지와 중대한 보안 취약점 1가지, 안드로이드 시스템의 서비스 거부 결함 2가지, 미디어텍(MediaTek) 부품의 심각한 보안 취약점 2가지가 포함됐다.

특히, 구글 픽셀과 삼성 기기 사용자라면, 5월 업데이트를 자세히 확인해야 한다. 구글 픽셀과 삼성 기기의 추가 취약점 수정 사항이 있기 때문이다. 지금까지 업데이트가 배포된 안드로이드 기기 중에는 삼성 갤럭시 S22와 갤럭시 S22+, 갤럭시 S22 울트라, 갤럭시 탭 S8 시리즈, 갤럭시 워치4 시리즈, 갤럭시 S21 시리즈 등이 있다.

크롬 102
구글의 또 다른 주요 업데이트 사항 중에는 크롬 보안 업데이트도 있다. 5월 배포된 크롬 보안 업데이트 사항은 중대한 결함으로 분류된 취약점 1개와 심각한 결함으로 분류된 취약점 8가지를 포함한 총 32가지 문제를 수정했다. CVE-2022-1853라고 알려진 중대한 결함은 인덱스드DB(IndexedDB) 기능에 문제를 일으킬 수 있다. 심각한 결함으로 분류된 취약점 8가지는 데브툴스(DevTools), UI, 사용자 교육 기능 등에 문제를 일으킬 수 있다.

구글은 크롬 102 업데이트 사항 중 악용 사례가 발생한 문제는 없다고 밝혔다. 한 달 전인 4월, 구글이 크로뮴 기반 브라우저에서 이미 악용된 몇 가지 취약점을 수정한 긴급 업데이트를 배포한 것과는 비교된다.

5월 초, 구글은 안드로이드 버전 크롬 v101.0.4951.61 결함 13가지를 수정했다. 그중 8개는 위험 등급이 높은 것으로 분류됐다.

시스코
시스코는 시스코 엔터프라이스 인프라스트럭처 소프트웨어(Cisco Enterprise NFV Infrastructure Software)의 취약점 여러 개를 수정했다. 모두 사이버 공격 세력이 게스트 가상 머신을 호스트 머신으로 피하면서 기본 수준으로 실행할 수 있는 명령을 입력하거나 호스트에서 가상 머신으로 시스템 유출 문제를 일으킬 수 있는 취약점이다.

위험성이 높은 보안 문제인 CVE-2022-20777, CVE-2022-20779, CVE-2022-20780 모두 심각하므로 최대한 업데이트하는 것이 좋다.

엔비디아
칩 제조사 엔비디아는 5월 중순, 엔비디아 GPU 디스플레이 드라이버 보안 업데이트를 배포해 서비스 거부 공격이나 정보 공개, 데이터 교란 등의 문제를 일으킬 수 있는 결함을 수정했다. 엔비디아가 수정한 취약점 10가지 중에는 윈도와 리눅스 기기의 커널 모드 레이어 문제가 포함되었다. 업데이트 사항은 엔비디아 다운로드 웹사이트에서 찾아볼 수 있다.


화상 회의 앱 줌은 5.10.0 배포와 함께 구글 프로젝트 제로(Project Zero) 보안 2월에 발견한 문제를 수정했다. 메시지 프로토콜 XMPP의 결함은 공격 실행 시 사용자와의 상호작용이 필요하지 않다. 보안 연구원 이반 프래트릭(Ivan Fratric)은 “사용자가 XMPP 프로토콜로 줌으로 대화를 하지 않더라도 공격을 개시할 수  있다”라고 말했다. 프레트릭 연구원은 해커 세력이 피해자 클라이언트를 악용해 악성 서버와 연결하고는 임의 코드 실행 문제를 일으킬 수 있다고 경고했다.

VM웨어
클라우드 공급사 VM웨어(VMWare)는 다양한 문제를 해결할 패치를 배포했다. 이번에 다룬 문제 중에는 특권 강화 취약점(CVE-2022-22973)과 인증 우회 결함(CVE-2022-22972) 등이 있다. VM웨어는 인증 우회 결함 악용 피해가 매우 심각하므로 패치를 즉시 적용해야 한다고 안내했다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
You Need to Update iOS, Chrome, Windows, and Zoom ASAP
이 기사를 공유합니다
RECOMMENDED