CVE-2017-7147, CVE-2017-7148, CVE-2017-7149
CVE-2017-7150, CVE-2017-12796

[보안뉴스 문가용 기자] 현지 시각으로 10월 22일, 우리나라 시간으로는 대략 22일에서 23일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.


1. CVE-2017-7147
특정 Apple 제품들에서 발견된 취약점으로, Apple Support 앱 1.2 이전 버전들의 Analytics 요소에 영향이 있다. 원격의 공격자들이 민감한 분석 정보를 평문 HTTP 전송을 통해 얻어낼 수 있게 된다.

2. CVE-2017-7148
특정 Apple 제품들에서 발견된 취약점으로, iOS 11 이전 버전들의 Location Framework 요소와 관련이 있다. 이를 악용하면 원격의 공격자들이 민감한 위치 정보를 얻어낼 수 있게 된다.

3. CVE-2017-7149
특정 Apple 제품들에서 발견된 취약점으로, macOS 10.13 이전 버전의 Supplemental Update와 StorageKit 요소와 관련이 있다. 이를 악용할 경우 공격자들이 APFS 암호화 볼륨에 대한 비밀번호를 취득할 수 있게 된다.

4. CVE-2017-7150
특정 Apple 제품들에서 발견된 취약점으로, macOS 10.13 이전 버전의 Supplemental Update와 Security 요소와 관련이 있다. 이를 악용할 경우 공격자들이 keychain 접근 프롬프트 화면을 우회할 수 있게 된다.

5. CVE-2017-12796
Reporting Compatibility Add On 2.0.4 이전 버전의 취약점으로 사용자가 XML를 입력할 때 deserialize 과정을 거치지 않는다. 원격에서 인증된 사용자들이 임의의 OS 명령을 실행할 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>