본문 바로가기 주메뉴 바로가기 검색 바로가기
하던 일 멈추고 iOS·안드로이드·윈도 업데이트부터 시작하라
상태바
more #보안 취약점 #보안 업데이트 #애플 #iOS 16.1.1 #아이패드OS 16.1.1
하던 일 멈추고 iOS·안드로이드·윈도 업데이트부터 시작하라
2022년 11월, 크롬과 파이어폭스VM웨어, 시스코, 시트릭스, SAP 등이 주요 패치 업데이트 사항을 배포했다.
By KATE O'FLAHERTY, WIRED UK

2022년 11월, 애플의 iOS와 구글 크롬, 파이어폭스, 마이크로소프트 윈도 등이 여러 가지 보안 취약점을 수정하려 패치를 배포했다. 패치 작업이 이루어진 문제 중 일부는 매우 심각한 문제였으며, 해커 세력이 악용한 취약점도 있다.

2022년 11월의 여러 보안 업데이트 사항 중 알아야 할 사항을 아래와 같이 전달한다.

애플 iOS and 아이패드OS 16.1.1
애플은 iOS16.1.1과 아이패드OS 16.1.1 업데이트를 배포하며, 모든 사용자에게 적용할 것을 권고했다. 패치로 수정한 보안 취약점은 두 가지이다. 패치 배포 속도를 고려했을 때, 매우 심각하다고 짐작할 수 있다.

추적 번호 CVE-2022-40303CVE-2022-40304로 분류된 두 가지 취약점은 libxml2 소프트웨어 라이브러리에서 발견됐다. 애플은 지원 페이지를 통해 CVE-2022-40303와 CVE-2022-40304 모두 해커의 원격 코드 실행에 악용될 수 있다고 경고했다. 두 가지 취약점 모두 구글 프로젝트 제로(Project Zero) 소속 보안 연구팀이 보고했다.

맥 사용자라면, 두 가지 취약점 모두 맥OS 벤투라 13.0.1로 해결된 것을 확인할 수 있다.

두 가지 취약점 모두 사이버 공격에 악용된 사례 보고가 없다는 점을 한 가지 희소식이라고 할 수 있을 것이다. 그러나 추후 문제 발생 전 최대한 빨리 업데이트하는 것이 좋다.
 
[사진=Apple]
[사진=Apple]

마이크로소프트 윈도
마이크로소프트의 11월 패치 화요일(November Patch Tuesday)도 주요 업데이트 사항을 배포했다. 마이크로소프트는 11월 패치 화요일에 제로데이 문제 4개를 포함한 취약점 68개를 수정했다.

추적 번호 CVE-2022-41073로 알려진 첫 번째 제로데이 취약점은 해커 세력이 시스템 권한을 손에 넣을 수 있는 윈도 프린트 스풀러(print spooler) 권한 강화 취약점이다. 또 다른 제로데이 취약점인 CVE-2022-41125는 해커 세력이 권한을 강화한 뒤 시스템 통제 권한을 손에 넣을 수 있는 윈도 암호화 차세대 키 격리 문제이다. 세 번째 제로데이 취약점인 CVE-2022-41128은 원격 코드 실행으로 이어질 수 있는 윈도 스크립팅 언어 취약점이다. 마지막 제로데이 취약점인 CVE-2022-41091은 마이크로소프트의 MotW(Mark of the Web) 보안 기능에 포함된 취약점이다.

구글 안드로이드
11월, 구글은 안드로이드 기기의 더 중요한 업데이트 사항을 배포했다. 구글은 11월 한 달간 위험성이 심각한 취약점 일부를 포함하여 여러 가지 취약점의 패치를 배포했다. 구글 안드로이드 패치 목록의 가장 위에 명시된 취약점은 프레임워크 구성요소에서 발견한 보안 위험성이 높은 취약점이다. 구글은 보안 조언을 통해 해당 취약점을 해결하지 않으면, 로컬 권한 강화로 이어질 수 있다고 경고했다.

11월 패치 사항 중에는 미디어 프레임워크(Media Framework) 구성요소에 영향을 미칠 수 있는 구글 플레이 시스템 취약점 CVE-2022-2209과 와이파이에 영향을 미칠 수 있는 취약점인 CVE-2022-20463 업데이트 사항이 포함됐다. 구글은 픽셀 기기에서 문제를 일으킨 취약점 5가지도 수정했다.

구글은 갤럭시 폴더블폰 3세대 모델과 4세대 모델을 포함한 삼성 기기에도 안드로이드 업데이트 사항을 배포하기 시작했다. 기기 '설정' 앱에서 업데이트 사항을 확인할 수 있다.

구글 크롬
세계 최고 인기 브라우저인 크롬은 여전히 해커 세력의 주요 공격 대상으로 남아있다. 이에, 구글은 11월 한 달간 크롬에서 올해 발견한 제로데이 취약점 8가지를 수정했다.

추적 번호 CVE-2022-4135로 알려진 해당 취약점은 구글 자체 위협 분석 그룹 소속 연구원인 클레멘트 레시그네(Clement Lecigne)가 보고한 힙 버퍼 오버플로우(heap buffer overflow)이다. 구글은 CVE-2022-4135 악용 사례가 널리 확산된 사실을 파악했다고 밝혔다.

2022년 11월 초, 구글은 크롬 취약점 10가지를 수정했다. 그중 6개는 보안 위험성이 매우 높다. 보안 위험성이 매우 높은 취약점 중 4개인 CVE-2022-3885, CVE-2022-3886, CVE-2022-3887, CVE-2022-3888은 UAF(use-after-free) 취약점이다. 그리고 보안 위험성이 높은 또 다른 취약점인 CVE-2022-3889는 V8에서 발견한 type confusion 문제이다. 마지막으로 CVE-2022-3890는 크래쉬패드(Crashpad)에서 발견한 힙 버퍼 오버플로우이다.

모질라 파이어폭스
2022년 11월, 구글 크롬의 경쟁 브라우저인 파이어폭스도 보안 업데이트로 분주했다. 모질라는 파이어폭스 107 업데이트를 배포하면서 보안 취약점 19가지를 수정했다. 그중 8가지는 보안 피해 영향이 크다고 분류됐다.

모질라 파이어폭스의 11월 패치 배포 사항 중 가장 중요한 패치는 CVE-2022-45404 취약점 배포이다. CVE-2022-45404는 전체 화면 알림을 우회해, 사용자가 알림 명령을 보지 못한 상태에서 윈도를 전체 화면으로 변경할 수 있는 취약점이며, 스푸핑 공격으로 이어질 수 있다. 반면, 금전 갈취 공격에 동원될 수 있는 UAF 버그 일부와 임의 코드 실행에 악용될 수 있는 결함 한 가지도 발견됐다.

VM웨어
소프트웨어 제조사 VM웨어(VMWare)는 자사 소프트웨어인 VM웨어 워크스페이스 ONE 어시스트(VMware Workspace ONE Assist)의 보안 취약점 여러 개를 수정했다. 수정한 취약점 중 CVSSv3 베이스 점수 9.8점을 받은 취약점 3개도 포함됐다. 첫 번째 취약점인 CVE-2022-31685는 인증 우회 취약점이다. VM웨어는 “워크스페이스 ONE 어시스트 접근 권한이 있는 악의적인 공격 세력이 애플리케이션 인증이 필요하지 않은 상태에서 관리자 권한을 손에 넣을 수도 있다”라고 경고했다.

보안 문제가 발생한 인증 방식 취약점인 CVE-2022-31686은 네트워크 접근 권한이 있는 해커 세력이 인증하지 않고도 관리자 접근 권한을 얻는 문제를 일으킨다.

보안 침입 문제가 발생한 취약점인 CVE-2022-31687은 네트워크 접근 권한이 있는 해커 세력이 인증 과정을 거치지 않고 관리자 접근 권한을 얻는 문제를 일으킨다.

시스코
시스코는 기업 방화벽 제품의 보안 취약점 33가지를 해결할 패치를 배포했다. 그중 2개는 보안 심각성 점수 10점 만점 기준 8.6점으로 보안 심각성이 매우 높다. 첫 번째 취약점인 CVE-2022-20947은 시스코 어뎁티브 보안 어플라이언스 소프트웨어(Cisco Adaptive Security Appliance Software)와 파이어파워 위협 방어(Firepower Threat Defense) 소프트웨어의 동적 접근 정책(dynamic access policies) 기능 취약점이다. CVE-2022-20947는 인증되지 않은 원격 해커 세력이 피해가 발생한 기기의 재로딩 원인이 되면서 서비스 거부(DoS) 공격으로도 이어질 수 있는 문제이다.

반면, CVE-2022-20946는 시스코 파이어파워 위협 방어 소프트웨어의 일반 라우팅 캡슐화 터널 역캡슐화 기능 문제이다. CVE-2022-20946를 악용하면, 인증되지 않은 원격 해커 세력이 피해 기기에 디도스 공격을 개시할 수도 있다.

시트릭스
2022년 11월, 기업 소프트웨어 개발사 시트릭스(Citrix)도 보안 업데이트를 배포했다. 시트릭스가 수정한 취약점은 시트릭스 게이트웨이(Citrix Gateway)와 시트릭스 ADC(Citrix ADC)에서 발견한 취약점이다. CVE-2022-27510은 게이트웨이 사용자 기능에 인증되지 않은 접근을 허용한다. CVE-2022-27513은 피싱 공격을 통해 데스크톱을 원격으로 장악한다. CVE-2022-27516은 사용자 로그인 정보 임의 키보드 조합 입력 공격 보호 기능을 우회한다.

시트릭스 지원 페이지에 게재된 바와 같이 앞서 언급한 취약점 때문에 피해를 겪은 시트릭스 ADC와 시트릭스 게이트웨이 사용자는 최대한 빨리 관련 업데이트를 설치해야 한다.

SAP
소프트웨어 기업 SAP도 2022년 11월 보안 패치의 날(November 2022 Security Patch Day)에 여러 가지 문제점을 수정했다. 그중에는 보안 심각성 점수 9.9점으로 매우 심각하다. CVE-2022-41203는 비즈니스오브첵트 BI 플랫폼(BusinessObjects BI Platform)에서 발견한 문제로, 인증된 해커 세력이 낮은 권한으로 일련의 매개 변수에서 직렬화된 개체를 가로채 악의적인 개체로 대체하는 문제를 일으킬 수 있다.

SAP는 CVE-2022-41203가 시스템의 기밀성, 무결성 및 가용성 손상을 일으키는 기능을 통해 신뢰할 수 없는 데이터 취약성의 역직렬화가 발생할 수 있다고 설명했다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Drop What You're Doing and Update iOS, Android, and Windows 
와이어드 코리아=Wired Staff Reporter iufcsol0122@spotv.net
저작권자 © WIRED Korea 무단전재 및 재배포 금지
와이어드 코리아=Wired Staff Reporter iufcsol0122@spotv.net
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다
RECOMMENDED
와이어드 뉴스레터 신청
  • 서울시 마포구 월드컵북로 56길 12 상암동 Trutec 빌딩 6층
  • 대표 전화 : 1833-8910 (평일 오전 9:30~18:30)
  • 팩스 : 02)539 -3968
  • 대표 메일 : wiredkorea@wired.kr
  • 회사명 : ㈜스포티비와이어드
  • 제호 : 와이어드코리아 WIRED Korea
  • 정기간행물 등록번호 : 서울 아 52627
  • 등록일 : 2019-09-30
  • 발행일 : 2019-12-12
  • 청소년보호책임자 : 이상현
  • 청소년보호책임자 : 이상현
  • WIRED Korea의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 와이어드코리아 Wired Korea. All rights reserved.
ND소프트
WIRED Korea 공식 SNS
WIRED Korea Newsletter 구독신청