Apple, iOS, macOS의 ‘클릭리스’ 제로데이 이미지 처리 취약점 패치

Apple은 오늘 “악의적으로 제작된 이미지” 또는 첨부 파일을 통해 악성 코드를 설치하는 데 사용할 수 있는 적극적으로 악용된 제로데이 보안 결함을 수정하기 위해 iOS, iPadOS, macOS 및 watchOS에 대한 보안 업데이트를 발표했습니다. iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 및 watchOS 9.6.2 업데이트는 모든 Apple 플랫폼의 결함을 패치합니다. 이 글을 쓰는 시점에서 iOS 15 또는 macOS 12와 같은 이전 버전에 대한 업데이트는 출시되지 않았습니다.

CVE-2023-41064 및 CVE-2023-41061 결함은 토론토 대학교 Munk School of Global Affairs & Public Policy의 Citizen Lab에서 보고되었습니다 . “BLASTPASS”라고도 불리는 Citizen Lab은 Safari, 메시지, WhatsApp 및 기타 자사 및 타사 앱에서 정기적으로 발생하는 이미지나 첨부 파일을 로드하는 것만으로 버그가 악용될 수 있기 때문에 버그가 심각하다고 말합니다. 이러한 버그는 “제로 클릭” 또는 “클릭 없는” 취약점이라고도 합니다.

Citizen Lab은 또한 BLASTPASS 버그가 “NSO 그룹의 Pegasus 용병 스파이웨어를 전달하는 데 사용되었습니다 “라고 말했습니다. 이는 완전히 패치된 iOS 및 Android 장치를 감염시키는 데 사용된 유사한 공격의 최신 버전입니다 .

이러한 종류의 결함이 걱정되는 사용자는 iOS 및 macOS 장치에서 잠금 모드를 활성화하여 사전에 결함을 완화할 수 있습니다. 무엇보다도 다양한 첨부 파일 유형을 차단하고 공격자가 이러한 “클릭 없는” 취약점을 악용하는 데 사용할 수 있는 공격 벡터 유형인 링크 미리 보기를 비활성화합니다.

Citizen Lab은 “우리는 잠금 모드가 이 특정 공격을 차단한다고 믿으며 Apple의 보안 엔지니어링 및 아키텍처 팀에서 이를 확인했습니다.”라고 말했습니다.

이러한 업데이트는 다음 주 Apple의 9월 제품 발표 이벤트 에 앞서 출시될 마지막 업데이트 중 일부일 가능성이 높습니다 . 여기서 iOS 17 , iPadOS 17 및 기타 소프트웨어 의 출시 날짜가 나올 것으로 예상됩니다 .