Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

버그

모든 파일에 접근할 수 있는 맥OS 취약점 공개 "오래된 OS는 여전히 위험"

애플이 OS 업데이트를 배포했다면 가능한 한 빨리 업데이트하는 것이 좋다. 가장 큰 이유는 중요한 보안 패치가 포함되어 있는 경우가 많기 때문이다. 최근 사이버보안 업체 컴퓨테스트리마인즈(Computestremids)의 보안 연구원 티즈 알케메이드가 공개한 보고서에서도 신속한 업데이트가 중요한 이유를 알 수 있다.   와이어드(Wired)는 맥OS의 저장된 상태 기능에서 취약점이 발견됐다고 보도했다. 이 기능은 맥을 다시 시작하면 열려 있던 앱과 파일이 자동으로 다시 열리는 기능이다. 2020년 12월 이 취약점을 발견한 알케메이드는 맥의 저장된 상태에 대한 프로세스 주입 공격을 성공적으로 수행했다. 그런 다음 몇 가지 다른 맥 보안 기능을 우회해 사용자 파일에 접근하고, 시스템 설정을 변경하고, 심지어 웹캠까지 사용할 수 있었다. 다만 와이어드의 보도에 따르면, 해당 취약점이 실제로 악용된 사례를 발견되지 않았다. 공통 취약점 및 노출 데이터베이스에 CVE-2021-30873로 등록된 취약점은 2021년 10월 25일 출시된 맥OS 몬터레이 12.0.1 업데이트에서 수정됐다. 지원 문서에 따르면, 맥OS 카탈리나의 경우에는 2021년 10월 24일에 배포된 보안 업데이트 2021-007에 같은 취약점에 대한 패치가 포함되어 있다. 하지만 빅서에서 사용할 수 있는 패치는 없는 것으로 보인다. 카탈리나보다 오래된 버전의 맥OS(버전 10.14.6 모하비 및 이전 버전)은 애플에서 지원하지 않거나 더 이상 사용되지 않는 것으로 간주된다. iOS 14.5 및 아이패드OS 14.5에서도 유사한 결함이 패치된 바 있다.  컴퓨테스트는 블로그를 통해 해당 취약점을 이용한 공격에 대해 자세히 설명하고, 애플의 통합 개발 환경(IDE) 앱인 엑스코드(Xcode)를 사용해 수정 사항을 확인할 수 있는 방법을 소개했다. 매우 기술적인 내용이지만 알케메이드는 “SIP의 파일 시스템 제한에서 제외되면 사용자의 Mail.app 사서함과 같은...

맥OS 취약점 버그 2022.08.16

AMD, 라데온 아드레날린에 간편한 버그 보고 도구 추가

RDNA 아키텍처에 기반한 RX 5000 시리즈가 지난해 후반 공개된 후 AMD는 2020년 상반기 내내 새로운 그래픽 아키텍처를 손보느라 분주했다. AMD는 지난 2월 사용자 커뮤니티에서 불만이 터져 나온 후 굵직한 버그를 수정한 드라이버를 배포했고, 여러 달 동안 남은 버그와 오류를 고치는 데 열중했다. 가장 최신 드라이버에서는 버그를 바로 AMD에 보고하는 과정을 더욱 간소화했다. 라데온 소프트웨어 아드레날린 20.7.1은 “자동으로 사용자의 하드웨어와 소프트웨어 구성 설정을 포착하는” 독자적인 버그 보고 유틸리티를 통합했다. AMD 대변인은 “사용자는 문제되는 현상을 간단히 기술하기만 하면 되고, 필요하다면 추가하고 싶은 이미지나 영상, 링크를 함께 추가해 AMD에 오류를 보고할 수 있다”고 설명했다.   라데온 소프트웨어 오른쪽 위에 있는 해충 모양의 아이콘을 클릭하면 버그 보고 도구를 열 수 있다.AMD 버그 보고 도구를 별도로 직접 다운로드할 수도 있다.   새로운 도구 외에도 AMD 라데온 소프트웨어 아드레날린 20.7.1에서는 성능 저하, 오버레이, 특정 게임에서만 발생하는 등 여러 가지 버그를 수정했다. 아드레날린 2020 에디션 7월 업데이트 블로그에서 더욱 상세한 수정 사항을 확인할 수 있다. 만일 그래픽 카드에 문제가 생긴다면 가장 처음 할 일은 클린 드라이버를 설치하는 것임을 기억하자. editor@itworld.co.kr 

아드레날린 amd 라데온 2020.07.14

“마침내 서피스도 5월 업데이트” 버그 패치하고 업데이트 배포

마이크로소프트는 자사의 최신 서피스 디바이스 중 일부가 윈도우 10 2020년 5월 업데이트를 받지 못하는 버그를 수정하고 업데이트를 배포하기 시작했다. 실제로 7월 1일 현재 PCWorld가 보유한 리뷰용 서피스 디바이스는 2020년 5월 업데이트를 받기 시작했다. 윈도우 10 2020년 5월 업데이트와 관련된 문제 목록에서 마이크로소프트는 최근 KB4557957 패치를 배포했는데, 이 패치가 “AOAC(Always On, Always Connected) 기능을 사용하는 일부 디바이스의 오류와 예기치 못한 재시작” 문제를 해결한다고 설명했다.   마이크로소프트의 문서에 따르면, 해당 버그는 최신 서피스 하드웨어를 포함해 다양한 디바이스에 영향을 미친다. 마이크로소프트는 영향을 받는 이들 드라이버나 펌웨어를 사용하는 윈도우 10 디바이스에 대해 ‘호환성 보류’를 적용했다고 밝힌 바 있다.  PCWorld의 테스트에 의하면, 마이크로소프트의 최신 서피스 디바이스 전부가 ‘호환성 보류’ 대상은 아니었다. 서피스 프로 7은 2020년 5월 업데이트를 실행하고 있는 반면, 서피스 북 3와 같은 다른 디바이스는 마이크로소프트가 구체적으로 지목하지는 않았지만 업데이트를 받지 못했다. 한편, 마이크로소프트의 이슈 목록에는 구형 엔비디아 GPU 드라이버 문제, 인텔 내장 GPU의 재생률 버그, 썬더볼트 도크에 연결할 때는 중단 문제 등을 포함해 아직도 여러 버그가 조사 중인 상태로 남아 있다. editor@itworld.co.kr

윈도우10 5월업데이트 버그 2020.07.02

마이크로소프트, 서피스 업데이트 방해 버그 수정…AOAC가 문제

마이크로소프트는 자사의 일부 최신 서피스 디바이스가 윈도우 10 2020년 5월 업데이트를 수신하지 못하도록 하는 버그를 수정했다고 밝혔다. 윈도우 10 2020년 5월 업데이트와 관련된 장애 목록에서 마이크로소프트는 최근 KB4557957 패치를 적용했다고 밝혔는데, 이 패치는 AOAC(Always On, Always Connected) 기능을 사용하는 일부 디바이스의 오류와 예기치 않은 재시동 문제를 해결한다. 마이크로소프트의 문서에 따르면, 해당 버그는 최신 서피스 하드웨어를 포함해 다양한 디바이스에 영향을 미친다. 마이크로소프트는 영향을 받는 이들 드라이버나 펌웨어를 사용하는 윈도우 10 디바이스에 대해 ‘호환성 보류’를 적용했다고 밝힌 바 있다.  이 버그를 KB4557957 패치를 통해 해결한 것이다. 마이크로소프트는 몇 주 내에 안전을 위한 보류가 제거될 것이라고 설명했다. 한편, 윈도우 2020년 5월 업데이트 페이지에 따르면, 마이크로소프트는 5월 업데이트를 적용할 디바이스의 수를 늘리고 있다. 하지만 이번 업데이트는 구버전 엔비디아 GPU 드라이버나 인텔 통합 GPU 관련 문제, 썬더볼트 도크 연결 문제 등 아직 여러 문제가 조사 중인 상태이다. editor@itworld.co.kr

윈도우10 업데이트 버그 2020.06.10

1월 14일 윈도우 7 종료의 날, 주요 버그가 공개될 수 있다는 소문 제기

보안 연구원인 브라이언 크렙스는 1월 14일 윈도우 7에 대한 지원이 만료되는 날, 고약한 버그가 패치될 수 있다고 경고했다.    이것이 사실이라면, 수백만 명의 윈도우 사용자가 악성코드에 노출될 수 있으며, 크렙스는 “이는 크립토API(CryptoAPI)의 인증서 및 암호화 메시징 기능을 제어하는 crypt32.dll에 영향을 미칠 수 있다”고 말했다. 무서운 점은 crypt32.dll가 특정 소프트웨어에 대한 디지털 서명을 스누핑(spoofing)하는 데 사용되어 PC가 완벽하게 정당한 애플리케이션으로 위장한 악성코드를 허용할 가능성을 만들어낸다는 점이다.   CERT 조정 센터의 취약점 보고서를 작성하는 윌 도먼은 “사용자들은 마이크로소프트 패치 화요일 업데이트를 적시에 설치하는 것에 매우 주의를 기울여야 할 것”이라고 지적했다.  크렙스는 미국 NSA가 1월 14일 사이버보안 문제에 관한 기자간담회를 개최할 예정이라고 보도했다.  윈도우 7에 대한 지원이 오늘 만료될 것으로 예상됨에 따라 지금 시기는 매우 중요하다. 마이크로소프트가 종전 지침을 그대로 따른다면, 취약점에 대한 보안 패치를 제공하지 않아 수백만 명의 윈도우 7 사용자가 특히 취약해진다. 물론, 마이크로소프트가 이 소문난 결함에 대해 패치를 내더라도, 그리고 지원을 하루 연장하더라도 문제가 없어지진 않는다. 또 다른 초대형 버그가 뒤따를 것이기 때문이다.  다시 한번 말하지만, 이런 주요 취약점이 공개된 경우, 마이크로소프트가 윈도우 7용 패치를 발행하지 않을 가능성은 매우 낮다. 윈도우 10과 윈도우 7이 모두 취약하더라도 마이크로소프트는 사용자에게 더 오래되고 덜 안전한 운영체제를 마이그레이션하도록 권장할 강력한 이유가 될 수 있다.  마이크로소프트나 NSA가 오늘 폭탄을 발표할 것인지 여부와 관계없이 변하지 않는 사실이 있다. 패치 및 기타 수정 사항에 대해 PC를 최신 상태로 유지하는 것은 최선의 방법이다. ...

윈도우7 패치 NSA 2020.01.14

글로벌 칼럼 | 애플의 최대 취약점이 된 소프트웨어 버그

올가을 공개된 iOS 13, 아이패드OS, 맥OS 카탈리나는 버그로 몸살을 앓았다. 홈팟(HomePod)도 업데이트 후 반응이 없는 문제가 발생하기도 해, 애플은 문제점을 수정하기까지 업데이트 배포를 잠시 중단했다. 버그는 물론 애플만의 문제는 아니지만, 상대적으로 안정적이었던 iOS 12와 비교하면 올해의 상황은 특히 나빠 보인다. 많은 사람들이 애플의 소프트웨어 전략에 대해 다시 생각하게 만들었고, 새로운 기능을 도입하는 것보다 버그를 없애는 데 더 많은 시간을 쓰게 했다. 지난주 블룸버그는 애플이 초기 소프트웨어 빌드의 안정성 강화를 위해 소프트웨어 개발 프랙티스의 변화를 꾀하고 있다고 보도하기도 했다. 하지만 내부 프랙티스의 변화는 한 요소일 뿐, 애플 소프트웨어의 전반적인 사용자 경험을 향상하는 데 도움이 될 더 많은 것들이 있다.   오래된 버그를 위한 나라는 없다 애플이 보통 연례 개발자 컨퍼런스에서 공개하고 가을에 배포하는 주요 소프트웨어 업데이트는 최신, 최고의 기능을 자랑하는 용도다. 특히, 신형 아이폰 출시와 시기를 같이 하는 iOS 최신 버전 배포는 지난 7년간 9월로 고정됐었다. 하지만 새로운 기능이 마케팅의 중심이긴 하지만, 전체 이야기의 일부일 뿐이다. 업데이트는 애플이 제대로 동작하지 않은 것을 수정하는 기회다. 업데이트가 구형 디바이스에서 확실히 동작하게 하기 위해 노력했던 iOS 12 같은 드문 예외는 빼고, 버그 수정은 해가 지날수록 더 빈약해지기 시작했다. 새로운 기능이 마치 아직 처리되지 않은 새로운 버그를 의미하는 것과 같아진다는 것은 전혀 도움이 되지 않는다. 얼마 전 애플 엔지니어 데이비드 셰이어는 TidBITS에 애플의 소프트웨어에 버그가 많아진 이유에 대한 글을 썼다. 그의 경험상 제일 큰 이유는 애플이 기존에 있던 버그를 처리하는 데 많은 시간을 들이지 않는다는 것이다. 이미 이전 버전에서도 제대로 동작하지 않았던 것들을 의미한다.  과거의 문제를 바로잡는 것보다 신규 기능을 우선순위에...

소프트웨어 버그 ios 2019.11.25

픽셀, 갤럭시 폰 노리는 신규 제로데이 익스플로잇 주의

구글의 프로젝트 제로(Project Zero) 팀이 픽셀, 픽셀 2, 갤럭시 S9, 화웨이 P20, 그리고 기타 다른 안드로이드폰 사용자들에게 해커들이 휴대폰을 전체 통제할 수 있도록 하는 새로운 제로데이 취약점을 경고했다. 그리고 이미 해커들이 이 취약점을 악용하고 있다는 증거도 있어 더욱 주의가 요구된다. 아스 테크니카(Ars Technica)의 지적처럼 이 문제는 2017년 12월 보안 업데이트로 패치됐지만, 소스 코드 검토에 따르면, 여전히 많은 휴대폰이 취약한 상태다. 구글에 따르면, 위험한 휴대폰 모델은 다음과 같다. 픽셀, 픽셀 2 삼성 갤럭시 S7, S8, S0 화웨이 P20 샤오미 레드미 5A 샤오미 레드미 노트 5 샤오미 A1 오포 A3 모토 Z3 안드로이드 8 오레오를 구동하는 LG 폰 등 구글에 따르면, 이 익스플로잇은 사전에 다비이스를 맞춤 구성할 필요는 없으나 크롬 샌드박스나 신뢰할 수 없는 앱 스토어를 통해 악성 앱을 설치해야 공격할 수 있다고 한다. 즉, 원격으로 실행되지는 않기 때문에 주의를 기울이는 것만으로도 피해는 예방할 수 있다. 연구원 메디 스톤은 “이 버그는 취약한 장치를 완전히 손상시킬 수 있는 로컬 특권 확대 취약점(local privilege escalation vulnerability)이다. 이 취약점에 샌드박스로 액세스할 수 있기 때문에 익스플로잇이 웹을 통해 전달되면 렌더러 익스플로잇과의 연결만 필요하다”고 설명했다. 구글은 이스라엘 기반의 ‘익스플로잇 개발자’로 알려진 NSO 그룹에 의해 이 익스플로잇이 적극적으로 악용되고 있음을 발견한 후, 30일 공개 버그에서 7일 공개 버그로 변경했다. 아스 테크니카의 설명대로 NSO 그룹은 2016년에 발견된 페가수스 스파이웨어와도 연결되어 있는 것으로 알려져 있다. 발표문에서 구글은 곧 조치를 할 것이라고 전했다. “픽셀 1과 2는 10월 보안 릴리즈로 보호될 예정이다. 안드로이드 생태계 전체가 이 문제에서 자유로울 수 있도록 파트너들에게도 패치를 제공할 것...

취약점 제로데이 픽셀 2019.10.07

IDG 블로그 | 페이스타임 차단으로 버그 사건 일단락… “애플에게 프라이버시는 PR 수단인가”

28일 밤(현지시간) 단 한 시간 동안 애플의 상황은 나쁜 것에서 더 나쁜 것으로 바뀌었다. 믿기 어려운 버그에 대한 보고로 시작된 이 소동은 프라이버시 혼란을 막기 위해 애플이 iOS 12의 핵심 기능 중 하나를 비활성화하는 것으로 마무리됐다. 정황은 이렇다. 나인투파이브맥(9to5Mac)은 발신자가 상대방이 전화를 받든 받지 않든, 심지어 전화가 온 줄 알든 모르든 상대방을 도청할 수 있는 페이스타임 버그가 있다고 보도했다. 전화를 건 후에 그룹 페이스타임에 자신의 전화번호를 추가하는 과정이 필요해 결코 쉽진 않지만, 부주의로 발생해서는 안되는 일이기도 하다. 또한, 일단 도청이 가능하다는 것은 남용될 가능성이 매우 높다. 먼저 애플은 단순히 버그를 인지하고 있으며 이번 주에 수정을 배포할 것이라고만 밝혔다. 하지만 월요일이었다는 점을 생각하면 앞으로 5일 동안이나 이 버그가 그대로 남아있을 수 있다는 의미었다. 약 30분 쯤 후 애플은 바른 조치를 취했다. 그룹 페이스타임을 서버를 통해 비활성화해 의도적으로 버그를 악용할 수 없게 한 것이다. 페이스타임 전체를 비활성화해야 할 일도 아니었다.   아이패드 프로의 휨 현상에 대해 인정하지 않는 태도로 일관했던 애플은 페이스타임 버그에 대해서는 빠르고 효율적으로 처리했다. 버그 자체뿐만 아니라 이와 관련된 여러 이야기거리를 만들지 않게 된 효과도 있다. 무엇보다 업데이트가 모두 적용되기까지는 시간이 걸리기 때문에 iOS 12.1.4를 기다려서 사람들이 실제로 설치하기까지는 몇 주가 걸리고, 그 기간 매우 심각한 버그가 수백만 대의 아이폰, 아이패드, 맥에 그대로 남아있을 터였다. 프라이버시와 PR 일단 이번 사건에 대한 애플의 노력을 인정하자. 문제의 근원을 거의 즉시 차단했고 사용자들을 악의적인 활동들로부터 보호했다. 언론의 보도에 대해 변명하지 않았고 이 과정에서 중요한 기능을 희생했다. 설명하거나 우회 방법을 제공하지도 않았다. 표면적으로는 애플이 자사의 제품보다 사용자의 안전과 보안...

도청 버그 아이폰 2019.01.30

인스타그램, 사용자 비밀번호 노출하는 버그 발견… 비밀번호 변경 권고

인스타그램이 지난 4월에 공개한 ‘내 데이터 다운로드하기’ 기능에 웹 브라우저의 URL에 사용자 비밀번호가 노출되는 버그가 있었던 것으로 알려졌다. 현재 이 버그는 수정된 상태지만, 인스타그램은 문제 예방을 위해 이 기능을 사용했던 사용자들에게 암호를 변경할 것을 권고했다. 이 버그는 GDPR(General Data Protecion Regulation)에 따라 사용자들이 본인의 데이터 전부를 다운로드할 수 있도록 한 기능에 포함되어 있던 것이다. 이 기능을 이용한 일부 사용자들은 인스타그램 계정의 비밀번호가 웹 브라우저에 URL로 표시됐다. 이러한 버그는 때때로 발생하며, 기업들은 보통 문제를 재빨리 바로잡곤 한다. 이 문제의 더 큰 문제는 비밀번호가 평문으로 저장되는 경우에만 가능한 버그라는 점이다. 페이스북이 소유한 이 회사의 데이터베이스에 기대하는 암호화 수준과는 달라 우려된다. 인스타그램은 더 버지(The Verge) 측에 ‘내 데이터 다운로드하기' 도구를 사용한 일부 사용자의 비밀번호가 URL로 노출됐는데 해당 사용자들에게만 보였고, 이 문제가 현재는 수정된 상태라고 전했다. 다시 한번 인스타그램은 이 도구를 사용한 경험이 있는 사람들에게 비밀번호를 변경하라고 권했다. editor@itworld.co.kr  

암호 비밀번호 버그 2018.11.21

“뷰티게이트는 아이폰 XS 버그” 애플, iOS 12.1 업데이트로 수정

아이폰 XS가 출시되자마자 사용자들은 전면 카메라로 촬영된 사진이 이전 아이폰으로 찍었을 때보다 더 부드럽게 표현되는 것을 발견했다. 이에 대해 애플이 여러 카메라 앱에서 인기가 높은 “뷰티 필터”를 의도적으로 적용했다는 의견도 있었다. 그리고 모든 오류, 버그, 실수 등에 ‘게이트(-gate)’를 붙이는 만큼 이 문제도 커뮤니티에선 ‘뷰티게이트(beautygate)’로 불렸다. 애플은 뷰티게이트를 ‘버그’로 정의하며, iOS 12.1에서 수정될 것이라고 전했다. 애플에 따르면, 스마트 HDR(Smart HDR) 시스템이 여러 노출로 촬영한 다음 하나의 최종본으로 합성하는데 여기서 ‘잘못된 프레임’을 선택한 것이 원인이다. 선명하고 짧게 노출된 이미지가 아니라 노출이 긴 것을 선택해서 최종 이미지에 선명함이 떨어지게 된 것이다. 이는 뷰티게이트 효과가 테스트마다 강도가 다르게 나타난 이유를 설명해주며, 아이폰 X에선 없었던 문제가 아이폰 XS에 나타나게 된 이유도 설명해준다. 아이폰 X에는 스마트 HDR 프로세싱 시스템이 없기 때문이다. 애플은 이 문제가 iOS 12.1에서 수정될 것이며, 스마트 HDR 시스템에 가장 선명한 프레밈을 기본 이미지로 선택할 것이라고 말했다. 현재 iOS 12.1 베타에 이 버그가 수정되었는지는 확실하지 않지만, iOS 12.1 최종 버전이 빠른 시일 내에 배포될 것으로 기대된다. editor@itworld.co.kr

버그 아이폰XS iOS12.1 2018.10.24

“제 2의 멜트다운” 포섀도우, 인텔 CPU 공격…기존 패치에 방어책 포함

멜트다운과 스펙터에 이어 ‘포섀도우(Foreshadow)라는 새로운 공격이 인텔의 코어 시리즈 칩에 적용된 SGX(Security Guard Extensions)을 노리고 있다. 이 공격은 L1TF(L1 Terminal Fault)라고도 부른다. 하지만 인텔의 블로그 포스트에 따르면, 지난 멜트다운과 스펙터 공격에 대한 대응책으로 PC를 패치한 사용자는 안전하다. 인텔은 이 블로그 포스트를 통해 결함을 공개했으며, 이를 설명하는 동영상도 올렸다. 마이크로소프트도 패치를 내놓고 있다. SGX는 원래 코드가 드러나거나 수정되는 것을 방지하기 위해 만들어진 것이다. 7세대 이상 코어 칩과 같은 세대의 제온 칩에 포함된 기능으로, “BIOS나 VMM, 운영체제, 드라이버 등이 감염됐을 때도 플랫폼에 대한 전체적인 실행 통제권을 가진 공격자의 접근을 막아 시스템을 보호한다.” 하지만 이것만은 아닌 것으로 보인다. 와이어드는 포섀도우 버그가 가상머신 간의 격리벽을 무너뜨릴 수 있다는 가설을 제시했다. 이론적으로 격리된 프로세스로 공간을 공유하는 클라우드 업체에는 심각한 문제가 될 수도 있다. 인텔은 L1TF 버그를 소프트웨어 패치로 해결하고 있을 뿐만 아니라 차세대 제온 칩인 캐스케이드 레이크(Cascade Lake)에서는 하드웨어 수준에서 패치될 것이라고 밝혔다. 스펙터나 멜트다운과 마찬가지로 인텔은 이들 버그에 감염된 실제 사례는 아직 없다고 강조했다. 흥미로운 사실은 인텔이 클라우드 서비스 업체와 공조해 “시스템이 운영되는 동안 L1TF 기반의 취약점을 탐지해 필요할 때만 방어책을 적용한다는 것이다. AMD 또한 발표문을 통해 자사 CPU는 포섀도우 버그에 영향을 받지 않는다며, 에픽 프로세서 고객에게 포섀도우 관련 소프트웨어 방지책을 적용하지 말 것을 권고하고 있다고 밝혔다. editor@itworld.co.kr

CPU 취약점 인텔 2018.08.16

글로벌 칼럼 | 애플, 맥북 프로의 급한 불은 껐지만... “근본적인 문제 해결 필요

예언을 하나 해볼까 한다. 아마 1~2개월 이내로 애플은 맥OS 하이 시에라를 업데이트 할 것이다. 그리고 이것은 아마도 High Sierra 10.13.6 추가 보완 업데이트(Supplemental Update)로 인해 발생한 문제를 해결하기 위한 업데이트가 될 것이다. 이는 애플의 성능 저하 버그만큼 공론화 된 문제는 아닐지 모르지만, 이번 업데이트는 분명히 평범한 버그 픽스나 성능 수정을 넘어서는 어떤 문제를 다루고 있음에 틀림 없다. 필자도 본인의 생각이 틀리기를 바란다. 그러나 애플이 충분한 신뢰를 쌓기 전까지는 애플의 신제품 출시나 업데이트, 심지어 패치 조차도 버그나 각종 문제들로부터 자유로울 것이라고 덮어놓고 가정할 수는 없다. 특히 이러한 문제들 중 일부는 상당히 심각한 수준의 것들로서 뉴스 헤드라인을 장식할 정도이기도 하다. 애플의 지난 12개월 동안의 업데이트 배포 내역들을 보자. ● iOS 11: 대문자 I 버그, 12/2 리부트 버그 ● 맥OS 하이 시에라: 루트 버그(Root bug) ● 아이폰 X: 혹한기 화면 어는 현상 ● 애플 워치 시리즈 3: LTE 연결 문제 ● 홈팟: 가구에 하얀 고리가 생기는 문제 이는 가장 주요한 문제들만 고르고 고른 것이다. 다행히 애플 같은 대기업으로서는 얼마든지 해결할 수 있는 문제들이지만, 다른 중소기업들에서 이 정도의 문제가, 이렇게 다양한 제품 군에 걸쳐 나타났다면 회사가 망했을지도 모를 일이다. 언제나 고객에게 신뢰를 판매한다고 자부해 온 애플이지만, 요즘의 행보는 과연 그게 사실인지 의문을 품게 만든다. 곧 각종 애플 제품들이 출시되는 릴리즈 시즌을 앞두고 이런 문제가 발생한다면 새로운 아이폰이나 새롭게 디자인한 애플 워치에 대한 소비자 신뢰를 얻기도 쉽지 않을 것이다. 곤란에 처한 애플 몇 주 전 애플에서 새로운 맥북을 발표했을 때 처음 소비자들의 반응은 무척 긍정적이었다. 처음 나왔던 리뷰들에도 이러한 시각이 다분히 엿보인다. 무려 1년 만에 새롭게 런칭한 ...

성능 맥북프로 버그 2018.07.27

마이크로소프트 관련 버그 121%, 가상화 소프트웨어 버그 275% 증가…ZDI

유명 버그바운티 커뮤니티인 제로데이 이니셔티브(Zero Day Initiative, ZDI)에 따르면, 2018년 현재까지 보고된 버그 수가 33% 증가해 2017년에 기록했던 가장 많은 버그 수를 초과할 것으로 보인다. ZDI는 올해 상반기까지 취약점 보고에 대해 연구원들에게 이미 100만 달러 이상을 지불했다. 2018년 상반기를 돌이켜 보면, ZDI는 600건을 발표했는데, 2017년 같은 기간에 451개를 게시한 것이 비해 상당히 많은 수다. 2017년이 가장 많은 해였지만, 올해에는 버그 보고가 33% 증가해 2017년 기록을 깨트릴 전망이다. 버그 보고가 증가하고 트랜드마이크로의 ZDI가 2018년 상반기동안 더 많은 버그를 발표한 반면, 제로데이 경보는 지난해 같은 기간에 비해 42% 감소했다. ZDI가 특정한 2018년 상반기 가장 흥미로운 트랜드인 마이크로소프트, 애플, 어도비, 스카다(SCADA), 가상화 소프트웨어의 버그 동향을 살펴보자. 121% 증가한 마이크로소프트 관련 버그 마이크로소프트 관련 버그는 지난해에 비해 121%나 증가했다. IE, 엣지(Edge), 차크라코어(Chakra Core) 내 JIT 버그가 2018년에 UAF(Use After Free) 버그로 되어가는 양상을 보여줬다. ZDI 측은 마이크로소프트가 발표한 지난해 상반기 패치보다 8%만 증가한 점을 비춰봤을 때, 마이크로소프트 제품의 버그 증가보다는 프로그램이 증가한 것으로 분석했다. 하지만 패치를 기다리고 있는 마이크로소프트 버그가 39개나 된다는 점 또한 지적했다. 반면, 애플은 보고된 버그의 수가 28.5%나 줄었다. 그러나 이는 기만에 불과하다. ZDI는 보고된 애플 버그의 수가 2017년 Pwn2Own에서 버그가 얼마나 많았는지 고려하지 않았다. 지난해와 올해 Pwn2Own 동안 획득한 버그를 제외하면 지난해에 비해 36% 증가한 수치다. 이는 곧 발표할 버그 수에서도 볼 수 있는데, 30개 이상의 애플 버그가 보안 패치를 기다...

취약점 ZDI 버그 2018.07.12

글로벌 칼럼 | “하나를 해결하면 또 다른 문제가…” 애플판 ‘비스타’ 같은 iOS 11

필자는 몇 년간 애플의 아이폰 아이패드용 운영체제인 iOS에 어려움을 겪어왔다. 특히, 모든 새 업데이트는 와이파이 네트워크를 매번 새롭고 흥미로운 방식으로 깨트리는 것처럼 보였다. 그러나 iOS 11은… 이보다 더 특별하다. 2017년 9월 iOS 11이 배포된 후엔 문제 하나가 해결되면 또 다른 문제가 튀어나왔다. 하나씩 살펴보자. 배터리 문제 iOS 11이 배포된 첫 주, 애플은 iOS 11.0.1을 배포했다. 그 이유는 사용자들이 배터리 사용시간이 급격히 떨어진다는 불만을 표시했기 때문. 모바일 보안 업체 완데라(Wandera)는 iOS 11이 ‘배터리 킬러’였다는 보고서를 냈다. 설명에 따르면, 자사 네트워크상에 있는 iOS11 및 iOS 10 사용자 5만 명을 대상으로 조사한 결과 iOS 11 사용자의 배터리가 iOS 10 사용자의 배터리보다 두 배 빠르게 소모됐다. 키보드 이상 iOS 11.0에서 ‘i’를 입력하면 자동으로 ‘A’에 기호가 추가되는 문제가 있었다. 어떻게 이런 문제가 발생하도록 내버려 둘 수 있을까? 키를 눌렀을 때 정확히 그 키가 나오도록 하는 것은 UI 기초 중의 기초다. 물론 iOS 11 첫 번째 버전에는 성능 저하, 얼음 현상, 전화 통화 실패 등과 같은 여러 다른 문제도 있었다. 이 문제들은 3번의 작은 업데이트를 통해 해결됐고, 마침내 애플은 iOS 11.1을 배포했다. 그런데 ‘i’ 문제는 iOS 11.1.1 배포때까지 기다려야 수정됐다. 게다가 모든 사용자들의 문제가 해결된 것도 아니다. 공식적으로 11.1.1은 iOS 11의 6번째 업데이트였다. 즉, 스스로 이전의 업데이트보다 훨씬 좋지 않았음을 증명한 샘이다. 낮은 기온에서의 아이폰 X 키보드 또 다른 바보 같은 문제점은? 기온이 낮을 때 아이폰 X의 키보드가 작동하지 않는 문제점이 있었다. 왜, 어떻게, 이런 문제가 발생했을까? 아...

운영체제 버그 애플 2018.03.22

애플, iOS 11.2.6, 맥OS 10.13.3 업데이트 배포… 문자 버그 수정

지난 주 인터넷은 인도 텔루구어 중 한 문자가 포함된 메시지를 받으면 아이폰과 맥이 멈춰버리는 버그로 떠들썩했다. 애플이 해당 문제를 해결한 아이폰, 아이패드, 맥, 애플워치, 애플 TV 대상의 업데이트를 배포해 이슈가 일단락됐다. 특히 문자 메시지를 주고받는 아이폰과 아이패드에서는 이 문자 버그가 악용되면 큰 영향을 받을 수 있으므로 지금 즉시 iOS 11.2.6으로 업데이트할 것을 권한다. 애플은 지난 몇 달간 몇몇 주요 버그를 처리해야만 했으나, 이번 건은 특히 문제가 심각하다. 메시지나 페이스북 메신저, 왓츠앱 등으로 문제의 문자가 포함된 메시지를 받으면 무조건 아이폰이나 아이패드가 얼어버리기 때문이다. 메시지 앱에서 이 문제를 해결하려면 그 문자를 보낸 친구에게 새 메시지를 받고 문제의 스레드를 삭제해야만 한다. 마셔블(Mashable)이 발견한 바에 따르면 트위터 앱에서 문제의 문자를 읽었을 때는 애플 기기가 아닌 다른 기기에서 트위터를 열어 본인의 계정에서 해당 문자가 포함된 트윗들을 차단해야 한다. 애플 제품에 이런 ‘문자 버그’ 현상이 나타난 것은 이번이 처음이 아니다. 바로 지난달, 개발자 아브라함 마스리는 깃허브(GitHub)에 유사한 영향을 미치는 스크립트를 공개한 바 있다. 현재는 삭제된 상태다. 2015년에는 의미가 없는 한 아랍어 문자가 아이폰에 충돌을 일으켰다. 그러나 이번처럼 애플 제품 전반에 영향을 준 일은 거의 없었다. iOS 11.2.6 업데이트는 아이폰 아이패드에 해당하며, 다른 디바이스는 맥OS 10.13.3이나 워치OS 4.2.3, tvOS 11.2.6으로 업데이트해야 한다. editor@itworld.co.kr  

맥OS 버그 ios 2018.02.21

맥OS 하이 시에라 버그 또 등장… ‘아무 암호로나’ 앱 스토어 환경설정 변경 가능

애플 사용자들이 맥OS에 누구나 루트 접근이 가능한 버그를 발견한 지 2개월이 채 되지 않았다. 애플은 이 문제에 대해 사과하고 빠르게 수정했지만, 한 사용자가 이와 유사한(위험은 적은) 맥OS 암호 버그를 찾아내 주목을 받고 있다. 맥OS 하이 시에라를 사용 중이라면 아래를 시도해봐라. 1. 시스템 환경설정 열기 2. 앱 스토어 클릭 3. 자물쇠가 열려 있으면, 클릭해서 잠그기 4. 잠귄 자물쇠를 클릭해서 풀기 5. 팝업창에서 사용자 이름을 입력하고 ‘아무’ 암호나 입력하기 앱 스토어 환경 설정창이 바로 열릴 것이다. 우리는 새로운 맥OS 10.13.2로 구동되는 아이맥과 맥북 프로로 시도해 봤는데 모두 성공했다. 안 좋은 소식은 이는 매우 찾아내기 쉬운, 매우 심각한 보안 취약점이라는 점이다. 다행인 점은 10.13.3 베타에서는 이 버그가 적용되지 않는 것으로 보아, 곧 배포될 업데이트에서 수정되리라는 것이다. 물론, 이 버그는 루트 버그에 비하면 크게 위험하지 않다. 물론, 본인의 맥에 접근할 수 있는 사람이면 누구나 앱 스토어 환경설정을 변경할 수 있다는 것이 좋진 않지만, 앱을 마구자비로 구매해 큰돈을 내게 하거나 데이터를 훔치는 것은 아니다. 앱 스토어 정책에 따라 최소 15분 간격으로 앱 구매시 암호를 다시 입력해야 한다. 애플의 품질 문제 지난해 11월과 12월 사이에 애플 사용자들은 큰 혼란을 겪었다. 최악은 루트 버그였는데 보고가 되자마자 즉시 수정됐다. 하지만 대문자 ‘I’를 입력할 수 없었던 iOS 버그도 있었고, 12월 2일 계속 재부팅되는 현상이 발생하기도 했다. 루트 버그가 화제가 됐던 당시 애플은 다음과 같이 밝혔다. “취약점을 배포하고 이 때문에 생긴 우려에 대해 모든 맥 사용자들에게 사과의 뜻을 전한다… 이런 일이 재발하지 않도록 개발 프로세스를 감사하고 있다.” 후에 필 쉴러는 애플에 시스...

맥OS 앱스토어 암호 2018.01.11

IDG 블로그 | 인텔 CPU 버그가 불러온 가상화의 악몽

CPU 설계 결함은 가상화에 사용하는 프로세스가 가장 큰 영향을 미친다. 가상머신 성능이 20~30%까지 떨어질 수 있다. 인텔은 2018년을 악몽으로 시작하고 있다. 멜트다운이 공개되면서 인텔은 일반 소비자에게는 별다른 영향이 없을 것이라고 밝혔지만, 걱정해야 할 사람은 따로 있다. 이번 문제는 인텔 프로세서가 가상 메모리를 처리하기 위해 페이지 테이블을 다루는 방법에서 발견됐다. 이번 취약점 공격은 예측 실행(speculative execution)이란 기법을 악용해 특권이 부여된 메모리의 내용을 살펴볼 수 있는 것으로 알려졌다. 예측 실행 취약점 공격 예측 실행은 비순차적 명령어 처리(out-of-order execution)란 방법론의 일부로, CPU가 보유한 데이터를 기반으로 다음에 일어날 일을 경험을 기반으로 추측한다. 이를 통해 CPU는 전체 사이클을 다 거치지 않고 좀 더 빨리 명령을 처리할 수 있다. CPU가 최대한 효율적으로 동작하도록 하는 기술이다. 인텔은 이번 문제가 얼마나 오래된 것인지를 밝히지 않았지만, 2006년 64비트 프로세서 펜린 제품군을 출시하던 때로 거슬러 올라가는 것으로 알려져 있다. 2017년 6월 구글 연구원이 처음 이 문제를 인텔에 알렸고, 구글은 인텔과 운영체제 업체들이 문제를 해결할 때까지 이를 공개하지 않았다. 구글 프로젝트 제로팀은 1월 3일 자신들의 조사 결과를 공개했다. 예측 실행의 결함을 해결하는 방법 잘 알려진 것처럼 문제는 세 가지 변형된 버전이 있으며, 모두가 인텔이 예측 실행을 처리하는 방법과 관련되어 있다. 모두 해결할 수 있지만, 운영체제를 통해서만 가능하다. CPU 자체에 새겨진 것이기 때문에 교체할 수도 없고 BIOS 업데이트로도 해결할 수 없다. 운영체제 차원의 패치만 효과가 있는데, 리눅스 배포판은 이미 패치를 배포하고 있으며, 마이크로소프트도 다음 주 화요일 패치에서 이 문제를 해결할 것으로 보인다. 근원적인 해결책은 CPU 아키텍처를 재설계하...

CPU 취약점 인텔 2018.01.05

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.