사파리 및 웹킷에 존재하는 4개의 보안 취약점 패치

[보안뉴스 호애진] 애플이 8일 iOS5.1.1 업데이트를 배포했다. 4개의 보안 취약점이 패치됐으며, 뉴 아이패드가 2G와 3G 네트워크 사이에서 전환하지 못하게 하는 버그 및 일부 환경에서 에어플레이 비디오 재생시 문제가 생기는 버그 등이 수정됐다.

4개의 취약점은 iOS에 기본적으로 탑재된 사파리 브라우저 혹은 오픈 소스 렌더링 엔진인 웹킷(Webkit)에 존재한다. iOS 업데이트에는 사파리와 웹킷 버그 수정이 대다수를 차지할 때가 많다.

이번에 애플이 보완한 4개의 보안 취약점 중 하나는 구글이 3월 개최한 해킹방어대회 Pwnium 시큐리티 챌린지에서 발견된 것이다. 당시 구글은 총 100만 달러를 상금으로 내건 바 있다.

웹킷에 나타난 2개의 Cross-Site Scripting(XSS) 취약점 중 하나로 세르게이 글라주노프(Sergey Glazunov)가 Pwnium에서 발견했으며, 그는 또 다른 취약점과 함께 6만 달러의 상금을 받기도 했다.

구글은 그가 익스플로잇을 시연한지 24시간 내 패치를 배포했다. 구글 역시 사파리와 같이 웹킷에 기반을 두고 있기 때문이다. 그러나 데스크톱 OS X에서 구동되는 사파리에서는 해당 XSS 취약점이 수정되지 않았다.

또 다른 취약점은 애플이 위험도를 ‘치명적’으로 분류해 놓은 것이다. 애플은 권고문을 통해 임의의 원격 코드를 실행시킬 수 있다고 경고했다. 마지막은 사용자의 주소창에 표시된 것과 다른 사이트로 유도하는 URL 스푸핑 공격이 가능한 취약점이다.

한편, 애플은 보안 취약점 외 몇가지 버그를 수정했다. 뉴 아이패드가 2G에서 3G 망으로 전환되지 않는 문제를 비롯해 잠금 화면에 있는 단축기로 사진을 찍을 때 HDR 옵션의 신뢰도 향상, 일부 환경에서 AirPlay 비디오 재생에 영향을 미치는 버그 수정, 사파리 책갈피 및 읽기 목록 동기화에 대한 신뢰성 향상, 앱 구입 후 ‘구입할 수 없음’ 표시 나타나는 문제 해결 등이다.

하지만 뉴 아이패드 구매자들이 불만을 제기하고 있는 배터리 수명이나 와이파이 장애 문제에 대한 부분은 빠져 있어 아쉬움을 남기고 있다.

이번 업데이트는 아이폰3GS, 아이폰4, 아이폰4S, 아이패드, 아이패드2, 뉴 아이패드, 아이팟터치 3·4세대에 적용되며, 아이튠즈가 설치된 윈도우 및 맥 컴퓨터를 통해 혹은 기기 설정에서 일반-> 소프트웨어 업데이트를 통해 다운로드 받을 수 있다.

다운로드 시 백업은 필수이며, 와이파이로 연결해야 한다. 파일 용량은 기기(아이폰, 아이패드 등)에 따라 다르지만 50MB 안팎이다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>