2020.04.27

애플, iOS 메일 앱 보안 취약점 인정 “당장 위험하진 않아”

Michael Simon | Macworld
한 보안 업체가 애플 iOS 메일 앱에 “원격 코드 실행을 허용하고 공격자가 상당한 양의 메모리를 소비하게 하는 이메일을 보내 원격으로 감염시킬 수 있는” 취약점을 발견했다. 애플은 이 취약점이 즉각적인 위험을 초래하진 않는다고 설명했다.

지난주 목요일 애플은 아이폰과 아이패드의 보호 장치가 해당 보안 위협을 완화할 수 있을 정도로 강력하다며, “연구원들이 메일 앱에서 발견한 3가지 문제는 아이폰과 아이패드의 보안 장치를 우회할 정도는 아니다”라고 말했다.

보안 업체 젝옵스(ZecOps)는 이번에 발견한 메일 앱 취약점이 “공격자가 이메일을 염탐하고, 수정하고, 삭제할 수 있도록 한다”고 주장했다. ‘실패한 공격’을 받은 사용자는 “이 메시지에는 내용이 없습니다”라는 경고 문구가 적힌 이메일을 보게 되지만, 공격을 받은 사용자는 메일 앱이 일시적으로 느려지는 것 외에 다른 변화를 느끼지 못한다는 것이 젝옵스의 설명이다. 이 취약점은 iOS 6 이후 버전에 존재한다.

젝옵스는 이 버그만으로는 iOS 사용자에게 해를 끼치진 않는다고 설명했다. 공격 대상 디바이스를 완전히 제어하기 위해서는 추가적인 정보 유출(infoleak) 버그나 커널(kernel) 버그가 필요하기 때문이다. 

애플은 “이 취약점으로 인해 사용자가 피해를 받은 증거를 보지 못했다”고 설명했다. 애플은 이 취약점이 향후 소프트웨어 업데이트에서 해결될 것이고, 이미 iOS 13.4.5 베타 패치가 제공됐다고 설명했고, 젝옵스 역시 이 사실을 확인했다. iOS 업데이트가 정식 공개되기 전에 베타 패치를 받아보고 싶다면, 애플의 iOS 퍼블릭 베타 프로그램에 참여하면 된다. editor@itworld.co.kr
 


2020.04.27

애플, iOS 메일 앱 보안 취약점 인정 “당장 위험하진 않아”

Michael Simon | Macworld
한 보안 업체가 애플 iOS 메일 앱에 “원격 코드 실행을 허용하고 공격자가 상당한 양의 메모리를 소비하게 하는 이메일을 보내 원격으로 감염시킬 수 있는” 취약점을 발견했다. 애플은 이 취약점이 즉각적인 위험을 초래하진 않는다고 설명했다.

지난주 목요일 애플은 아이폰과 아이패드의 보호 장치가 해당 보안 위협을 완화할 수 있을 정도로 강력하다며, “연구원들이 메일 앱에서 발견한 3가지 문제는 아이폰과 아이패드의 보안 장치를 우회할 정도는 아니다”라고 말했다.

보안 업체 젝옵스(ZecOps)는 이번에 발견한 메일 앱 취약점이 “공격자가 이메일을 염탐하고, 수정하고, 삭제할 수 있도록 한다”고 주장했다. ‘실패한 공격’을 받은 사용자는 “이 메시지에는 내용이 없습니다”라는 경고 문구가 적힌 이메일을 보게 되지만, 공격을 받은 사용자는 메일 앱이 일시적으로 느려지는 것 외에 다른 변화를 느끼지 못한다는 것이 젝옵스의 설명이다. 이 취약점은 iOS 6 이후 버전에 존재한다.

젝옵스는 이 버그만으로는 iOS 사용자에게 해를 끼치진 않는다고 설명했다. 공격 대상 디바이스를 완전히 제어하기 위해서는 추가적인 정보 유출(infoleak) 버그나 커널(kernel) 버그가 필요하기 때문이다. 

애플은 “이 취약점으로 인해 사용자가 피해를 받은 증거를 보지 못했다”고 설명했다. 애플은 이 취약점이 향후 소프트웨어 업데이트에서 해결될 것이고, 이미 iOS 13.4.5 베타 패치가 제공됐다고 설명했고, 젝옵스 역시 이 사실을 확인했다. iOS 업데이트가 정식 공개되기 전에 베타 패치를 받아보고 싶다면, 애플의 iOS 퍼블릭 베타 프로그램에 참여하면 된다. editor@itworld.co.kr
 


X