울지않는벌새 : Security, Movie & Society

업데이트 : iOS 8.1.1 (2014.11.19)

벌새::Security

최근 애플(Apple) iOS 모바일 운영 체제에서 발견된 9건의 보안 취약점 문제를 해결한 iOS 8.1.1 업데이트 버전이 공개되었습니다.

이번 업데이트에서 주목할 점은 중국 해커 조직인 @PanguTeam에서 탈옥에 사용한 취약점(CVE-2014-4455, CVE-2014-4457, CVE-2014-4461)에 대한 패치가 이루어짐에 따라 iOS 8.1.1 버전에서는 탈옥이 불가능하게 되었습니다.

또한 중국(China) 서드파티 앱 스토어를 통해 Mac OS 감염을 통해 탈옥하지 않은 iOS를 감염시킬 수 있는 WireLurker 악성코드 유포와 관련된 보안 취약점과 "Masque Attack" 공격을 통한 순정 iOS 감염 방식에 대한 보안 패치가 포함되어 있지 않은 것으로 확인되고 있으므로 여전히 주의하셔야 합니다.

 

1. CVE-2014-4451 (중요) : 공격자가 잠금 화면 우회를 위해 암호 최대값을 초과할 수 있는 보안 기능 우회 문제를 해결하였습니다.

 

In some circumstances, the failed passcode attempt limit was not enforced. This issue was addressed through additional enforcement of this limit.

 

2. CVE-2014-4452, CVE-2014-4462 (긴급) : 악의적으로 조작된 웹 사이트 방문시 다중 메모리 손상 취약점으로 인해 애플리케이션 종료 또는 임의의 코드가 실행될 수 있는 WebKit 보안 문제를 해결하였습니다.

 

Multiple memory corruption issues existed in WebKit. These issues were addressed through improved memory handling.

 

3. CVE-2014-4453 (중요) : Spotlight, 사파리(Safari), Spotlight 제안 서버간의 최초 연결 부분에서 사용자의 대략적인 장비 위치 정보가 불필요하게 포함되는 정보 유출 문제를 해결하였습니다.

 

The initial connection made by Spotlight or Safari to the Spotlight Suggestions servers included a user's approximate location before a user entered a query. This issue was addressed by removing this information from the initial connection and only sending the user's approximate location as part of queries.

 

4. CVE-2014-4455 (중요) : 로컬 사용자가 서명되지 않은 코드를 실행할 수 있는 보안 문제를 해결하였습니다.

 

A state management issue existed in the handling of Mach-O executable files with overlapping segments. This issue was addressed through improved validation of segment sizes.

 

5. CVE-2014-4457 (중요) : iOS의 디버깅 기능에 존재하는 권한 허용 문제로 인하여 악성 애플리케이션이 기기에서 임의의 코드를 실행할 수 있는 보안 문제를 해결하였습니다.

 

A permissions issue existed with the debugging functionality for iOS that allowed the spawning of applications on trusted devices that were not being debugged. This was addressed by changes to debugserver's sandbox.

 

6. CVE-2014-4460 (중요) : 사파리(Safari) 웹 브라우저를 이용하여 개인정보 보호 브라우징(Private) 모드에서 빠져나올 때 캐쉬된 파일이 깨끗하게 삭제되지 않는 문제로 정보 유출이 이루어질 수 있는 보안 문제를 해결하였습니다.

 

A privacy issue existed where browsing data could remain in the cache after leaving private browsing. This issue was addressed through a change in caching behavior.

 

7. CVE-2014-4461 (중요) : 악성 애플리케이션이 시스템 권한을 가진 임의의 코드를 실행할 수 있는 권한 상승 문제를 해결하였습니다.

 

A validation issue existed in the handling of certain metadata fields of IOSharedDataQueue objects. This issue was addressed through relocation of the metadata.

 

8. CVE-2014-4463 (중요) : FaceTime의 "메시지 보내기" 기능을 통해 기기로부터 사진을 보내고 볼 수 있도록 허용하는 정보 유출 보안 문제를 해결하였습니다.

 

The Leave a Message option in FaceTime may have allowed viewing and sending photos from the device. This issue was addressed through improved state management.

 

그러므로 iPhone 4S 및 상위 제품, iPod Touch 5세대 및 상위 제품, iPad 2 및 상위 제품 사용자는 반드시 소프트웨어 업데이트 기능을 통해 iOS 8.1.1 버전으로 업데이트를 하시고 사용하시기 바랍니다.