애플, 지난달 Pwn2Own에서 악용된 취약점을 포함해 사파리의 20여 개 버그 패치 발표

애플은 지난 화요일 사파리 웹 브라우저의 20여 개 버그에 대한 수정 사항을 드디어 발표했습니다. 여기에는 지난달 Pwn2Own 해킹 대회에서 악용된 취약점에 대한 패치도 포함되어 있습니다.

회사는 사파리 6과 7에 대한 업데이트를 발표하고 새로운 보안 업데이트가 포함된 최신 버전인 사파리 6.1.3과 사파리 7.0.3을 홍보했습니다.

• 애플 소프트웨어 엔지니어들은 총 27개의 취약점을 패치했으며, 이 중 대부분은 사파리를 구동하는 오픈 소스 브라우저 엔진인 웹킷(WebKit)에서 발견되었습니다. 이들 중 모든 취약점은 하나를 제외하고는 모두 치명적인 것으로 간주됩니다. 치명적인 취약점은 “임의 코드 실행” 을 허용하며, 회사는 보도자료에서 이렇게 밝혔습니다. 임의 코드 실행은 피해자의 컴퓨터에 악성 코드를 주입하는 데 악용될 수 있습니다. 또 다른 치명적인 취약점인 “메모리 손상 버그”는 일부 경우에 높은 위험을 초래할 수 있으며, 사이버 범죄자들은 특별히 제작된 악성 웹사이트를 만들어 사파리 브라우저를 충돌시킴으로써 이 취약점을 악용할 수 있습니다.
• 27개 중 절반 이상은 구글의 보안 팀에 의해 발견된 버그로, 가장 주목할 만한 버그는 해커가 브라우저의 안전한 샌드박스에서 코드를 실행하여 시스템의 임의 파일을 읽을 수 있도록 허용합니다. 구글이 애플 소프트웨어의 버그를 찾는 데 관심을 가진 이유는 구글의 크롬과 사파리가 동일한 웹코어(WebCore) 구성 요소를 사용하기 때문이며, 이는 발견된 버그가 두 회사의 사파리와 크롬 모두에 공통적인 문제임을 의미합니다.

다른 버그 세트는 지난달 Pwn2Own 해킹 대회에서 강조된 버그를 포함하며, 여기에는 지정되지 않은 벡터를 통해 샌드박스 보호 메커니즘을 우회할 수 있는 힙 기반 버퍼 오버플로우 버그가 포함됩니다. 이 취약점은 상하이에 기반을 둔 보안 연구 그룹인 “킨 팀(Keen Team)”의 멤버인 리앙 첸(李昂辰)에 의해 발견되었으며, 이 버그를 발견한 대가로 65,000달러의 보상금을 받았습니다.

• 또 다른 버그는 프랑스의 취약점 판매업체인 Vupen에 의해 발견되었으며, 이들은 Pwn2Own에 팀을 보냈습니다. Vupen은 크롬, 어도비 리더, 어도비 플래시, 마이크로소프트의 인터넷 익스플로러 등 여러 대상을 해킹하여 400,000달러의 보상을 받았습니다. 위에서 언급한 것처럼 웹킷(WebKit)에서 패치된 버그는 구글의 크롬과 애플의 사파리 모두에서 사용됩니다.
• 애플은 사용자에게 가능한 한 빨리 패치를 다운로드하거나 브라우저를 업데이트할 것을 권장했습니다.