본문 바로가기

벌새::Security

업데이트 : Apple iTunes 10.5.1.42

반응형
Apple사에서 제공하는 멀티미디어 플레이어에서 발견된 보안 취약점 문제를 해결한 Apple iTunes 10.5.1.42 버전을 공개하였습니다.

이번 업데이트에서는 CVE-2008-3434 관련된 보안 취약점을 이용하여 공격자가 MITM(Man-in-the-Middle) 공격을 통해 중간에서 마치 Apple에서 제공하는 업데이트로 보이도록 위장하는 문제를 해결하였습니다.

세부적 내용을 살펴보면 Apple iTunes는 주기적으로 Apple에 HTTP 요청을 사용하여 소프트웨어 업데이트를 체크하며, 해당 요청은 iTunes가 업데이트를 할 수 있도록 할 수 있습니다.

만약 Windows 운영 체제 환경에서 Apple Software Update가 설치되어 있지 않은 경우 iTunes 다운로드 버튼을 클릭할 경우 사용자의 기본 웹 브라우저에 HTTP 응답을 통해 URL을 열도록 되어 있습니다.

이로 인하여 업데이트 체크를 하는 과정에서 보안 연결이 완화되는 문제가 발생하고 MITM 공격이 가능합니다.

그러므로 Apple iTunes 프로그램을 사용하시는 분들은 반드시 Apple Software Update 기능을 이용하여 자동 업데이트를 하시거나, Apple iTunes 웹 사이트에서 최신 버전을 다운로드하여 재설치하시기 바랍니다.

반응형