애플이 한 달째 방치해 왔던 맥OS 관련 암호화 통신(SSL/TLS) 취약점 등을 포함해 총 37개 취약점에 대한 보안 업데이트를 공개했다. 지난 10월 최신 맥OS인 OS X 매버릭스 10.9가 배포된 이후 최대 규모다.
26일(현지시간) 미국 지디넷은 애플이 OS X 매버릭스 10.9와 이전 버전인 OS X 라이온 10.7.x, OS X 마운틴 라이온 10.8.x 등을 포함해 대규모 보안 업데이트를 실시했다고 보도했다.
이를 통해 애플은 33개 OS X에 대한 자체 취약점, 4개 사파리 취약점, 10개 퀵타임 포 윈도에 대한 취약점을 개선했다.
애플은 정책상 실시간 보안 업데이트를 하지 않았었다. 그러나 수십여개 보안취약점에 대한 전문가들의 분석이 올라오면서 결국 한번에 대규모 보안 업데이트를 실시한 것으로 보인다.
외신에 따르면 OS X의 취약점은 심각한 수준이다. 그 중 하나는 마운틴 라이언에서 발견된 보안 전송에 관한 것이다. 애플은 이 과정에서 암호화 통신 기술인 SSL/TLS 적용해 왔다. 취약점 명칭은 'CVE-2011-3389'로 분류된다. 해당 취약점이 2011년 9월6일에 공개됐다. 3년이 넘도록 해결되지 않고 있었던 셈이다.
이밖에도 최신 보안 업데이트는 아파치 취약점, 앱 샌드박스 우회 취약점, 버퍼오버플로우 취약점 등을 개선한 내용을 담고 있다.
관련기사
- "외주 인력도 보안관리해야 정보 유출 예방"2014.02.27
- 통신장비 보안 검증에 국내외 업체 모두 비상2014.02.27
- 애플 보안 취약점, 맥OS에선 여전히 위협2014.02.27
- 애플, 보안문제 개선한 iOS 7.0.6 배포2014.02.27
사파리에서 발견된 취약점 4개는 웹킷 브라우저 엔진에서 발견된 메모리 커럽션 취약점으로 공격자들은 사용자가 악성 사이트에 방문했을 때 해당 사용자 PC를 중재코드삽입(악성코드 삽입)을 통해 감염시킨다.
퀵타임 포 윈도에 대한 10개 보안 업데이트는 악성 동영상 파일을 플레이할 때 발생할 수 있는 원격코드삽입(악성코드 삽입)에 대해 보호하는 기능을 갖고 있다.
