지난 주 애플은 브라우저, 이미지 및 그래픽 처리 코드, 오피스 파일 뷰 유틸리티 등을 포함한 디바이스 소프트웨어의 보안 취약점 십여 개를 처리하기 위한 업데이트를 배포했다.

애플이 패스워드, 계좌 정보 및 기타 민감한 데이터를 탈취할 목적으로 익스플로이트할 수 있는 사파리 브라우저의 결점을 포함, 아이폰과 아이팟 터치의 최소 십여 개의 보안 이슈를 처리하는 아이폰 펌웨어 버전 2.2를 배포했다.

특히 이번 패치는 네 개의 중요 취약점을 포함하고 있는데, 사파리 브라우저의 메모리 핸들링 문제, 웹사이트가 아이폰에서 신뢰할 수 없는 프로그램을 구동하게 할 수 있는 이미지 프로세스 관련 문제, 오피스뷰어가 MS 액셀 파일을 처리하는 방식에서 발생하는 취약성 등이다.

이들 취약점을 통해 공격자는 디바이스를 익스플로이트해 자체 프로그램을 구동할 수 있는 것으로 알려졌다.

애플의 설명에 따르면 TIFF 이미지 처리 에러는 사용자에게 악성 TIFF 이미지를 보도록 속여 익스플로이트하는 것으로, 코어그래픽(CoreGraphics)은 프로세스 에러의 결과를 가져오는 메모리 손상 이슈를 포함하고 있다. 공격자는 이를 통해 아비터리 코드를 전달하거나 DDoS 공격을 시도할 수 있으며, 일부 TIFF 이미징 에러는 디바이스의 리셋을 요구할 수도 있다.

한편, 애플은 지난 9월에 아이폰의 소프트웨어를 버전 2.1로 업그레이드하며 보안 취약성을 처리했고, 이어 7월에는 아이폰과 아이팟 터치 펌웨어를 버전 2.0으로 업그레이드, 13개의 보안 취약성을 수정했다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>