애플이 2022년 8월 17일 공격자에 의해 악용됐을 수 있는 제로데이 취약성 2개를 수정하는 보안 업데이트를 맥OS와 iOS, 아이패드OS에서 출시했다.
제로데이 취약점은 소프트웨어 공급업체가 알아차리거나 패치하기 전 공격자와 연구자가 발견한 보안 결함을 의미한다. 연구자가 발견하고 공격 개념을 입증하는 것만으로는 해는 없지만 공격자에 의해 발견된 제로데이 취약성이 악용되는 사례도 종종 보고되고 있다.
새롭게 애플은 2가지 제로데이 취약점을 수정하기 위해 긴급 보안 업데이트를 출시했다. 릴리스 버전은 맥용(macOS Monterey 12.5.1), 아이폰용(iOS 15.6.1), 아이패드용(iPadOS 15.6.1) 3가지이며 모두 수정된 취약점은 같다. 제로데이 취약점 2개는 익명 연구자에 의해 보고된 것으로 애플은 공격자에게 악용됐을 수 있다고 밝히고 있다.
수정된 2가지 제로데이 취약성 중 CVE-2022-32894는 운영체제 핵심을 담당하는 커널 취약성으로 앱이 커널 권한으로 임의의 코드를 실행할 수 있게 한다는 것. 커널 권한은 최고 수준 권한이어서 이 취약성이 악용되면 장치를 효과적으로 제어할 위험이 있다.
또 다른 취약점인 CVE-2022-32893은 HTML 렌더링 엔진 웹킷(WebKit)에 존재하는 취약점으로 악의적인 웹사이트에 액세스하면 임의 코드가 원격 실행될 위험이 있다고 한다.
한편 구글 역시 8월 16일 데스크톱 버전 크롬 보안 업데이트를 출시했다 버전은 맥과 리눅스가 104.0.5112.101, 윈도에선 104.0.5112.102/101이다. 이번 보안 업데이트에는 취약점 11개에 대한 핫픽스가 포함되어 있다. 검증에 관한 CVE-2022-2856 취약성은 이미 악용이 확인되고 있다고 한다. 이런 취약성을 발견한 연구자는 크롬 취약성 보상금 프로그램을 통해 최소 2만 9,000달러 이상 보상금을 받았다. 크롬 보안 업데이트는 순차적으로 배포될 예정이다. 관련 내용은 이곳에서 확인할 수 있다.