애플의 iOS 14.2 / iPadOS 14.2 버전 릴리즈 및 보안 업데이트 내용 알아보기
#CVE-2020-27930 (RCE)
#CVE-2020-27950 (Memory Leak)
#CVE-2020-27932 (kernel privilege escalation)
#주요 제로데이 취약점 내용
금주에 Apple은 iOS 14.2 및 iPadOS 14.2를 릴리즈 했습니다.
이미 많이 악용되고 있는 세 가지 취약점을 포함하여 총 24 개의 취약점이 패치되었네요.
상세 릴리즈 노트는 아래 URL에서 확인 가능합니다.
About the security content of iOS 14.2 and iPadOS 14.2
support.apple.com/en-us/HT211929
About the security content of iOS 14.2 and iPadOS 14.2
This document describes the security content of iOS 14.2 and iPadOS 14.2.
support.apple.com
트위터를 통해 Google Project Zero의 Ben Hawkes는 '
, CVE-2020-27950 (Memory Leak) 및 CVE-2020-27932 (kernel privilege escalation)'에 해당하는 Zero Day 취약점을 발견했고, 이를 Apple에서 업데이트에 포함했다고 합니다.
https://twitter.com/benhawkes/status/1324422885830610944?s=20
Ben Hawkes on Twitter
“Apple have fixed three issues reported by Project Zero that were being actively exploited in the wild. CVE-2020-27930 (RCE), CVE-2020-27950 (memory leak), and CVE-2020-27932 (kernel privilege escalation). The security bulletin is available here: https:/
twitter.com
주요 취약점에 대한 간단한 설명은 다음과 같습니다.
CVE-2020-27930
이 취약점은 FontParser에서 발생하는 Memory Corruption 취약점입니다.
(on iPhone 6s and later, iPod touch 7th generation, iPad Air 2 and later, and iPad mini 4 and later)
해당 취약점을 통해 공격자는 임의 코드 실행으로 이어질 수있는 "악의적으로 제작 된 글꼴"을 처리하게 할 수 있습니다.
CVE-2020-27950
이 취약점은 iOS Kernel의 memory initialization issue에 해당합니다.
(affects iPhone 6s and later, iPod touch 7th generation, iPad Air 2 and later, and iPad mini 4 and later)
해당 취약점을 통해 Kernel Memory를 유출할 수 있습니다.
CVE-2020-27932
이 취약점은 Kernel에서 발생하는 일종의 a type of confusion issue에 해당합니다.
(iPhone 6s and later, iPod touch 7th generation, iPad Air 2 and later, and iPad mini 4 and later)
이 취약점은 악성 앱을 통해 커널 권한의 RCE가 가능하다고 합니다.
댓글