우리는 iPhone 16 및 기타 업그레이드된 하드웨어 제품이 대중에게 출시된 Apple의 최근 이벤트를 감안할 때 iOS 14을 기다려 왔습니다.
오늘 아침에 우리는 설정 > 일반 > 소프트웨어 업데이트, 만일을 대비하여…
...하지만 아무것도 나타나지 않았습니다.
그러나 영국 시간으로 오늘 밤 8시 직전[2022-09-12T18:31Z] 얼마 지나지 않아 받은 편지함에 수많은 업데이트 알림이 전송되어 새롭고 업데이트된 Apple 제품이 흥미롭게 혼합되었음을 알렸습니다.
우리가 게시판을 읽기 전에도, 우리는 설정 > 일반 > 소프트웨어 업데이트 이번에도 업그레이드 제안을 받았습니다. 아이폰 OS 15.7, 대체 업그레이드를 통해 아이폰 OS 16:
업데이트와 업그레이드가 동시에 가능합니다!
(우리는 iOS 16으로 업그레이드했습니다. 다운로드는 3GB 미만이었지만 일단 다운로드하면 프로세스가 예상보다 빠르게 진행되었고 지금까지 모든 것이 잘 작동하는 것 같습니다.)
업그레이드를 하지 않아도 반드시 업데이트
명확하게 하기 위해, 원하지 않는 경우 업그레이드 아직 iOS 16으로, 당신은 여전히 최신 정보왜냐하면 아이폰 OS 15.7 및 iPadOS 15.7 업데이트에는 버그라고 불리는 수정 사항을 포함하여 수많은 보안 패치가 포함되어 있습니다. CVE-2022-32917.
버그, 발견은 단순히 "익명의 연구원", 다음과 같이 설명됩니다.
[버그 패치:] 커널 사용 가능: iPhone 6s 이상, iPad Pro(모든 모델), iPad Air 2 이상, iPad 5세대 이상, iPad mini 4 이상, iPod touch(7세대) 응용 프로그램은 커널 권한으로 임의의 코드를 실행할 수 있습니다. Apple은 이 문제가 적극적으로 악용되었을 수 있다는 보고를 알고 있습니다. 설명: 이 문제는 향상된 경계 검사를 통해 해결되었습니다.
Apple이 마지막으로 긴급 제로데이 패치 커널 코드 실행 버그가 나왔다는 것은 순진해 보이는 앱(아마도 검사 시 명백한 위험 신호를 표시하지 않았기 때문에 App Store에 진입한 앱 포함)이라도 Apple의 앱별 보안 잠금에서 벗어날 수 있다는 것을 의미합니다…
...카메라 또는 카메라 사용, 마이크 활성화, 위치 데이터 획득, 스크린샷 찍기, 암호화되기 전(또는 암호 해독된 후 네트워크 트래픽 스누핑 등) 시스템 작업을 수행할 수 있는 권한을 획득하는 것을 포함하여 잠재적으로 전체 장치를 인수합니다. ), 다른 앱에 속한 파일 액세스 등.
실제로 이 "문제"(또는 보안 구멍 라고 부르기를 원할 수도 있음)이 야생에서 적극적으로 악용되었습니다. 의심하지 않는 사용자가 이미 설치한 앱이 있다고 추측하는 것이 합리적입니다. 해당 앱에는 활성화 코드가 포함되어 있음에도 불구하고 신뢰할 수 있는 소스라고 생각한 것입니다. 이 취약점을 악용합니다.
흥미롭게도 macOS 11(Big Sur)은 맥 OS 11.7, 두 번째 제로데이 구멍을 패치합니다. CVE-2022-32894, 위에서 인용한 iOS 제로데이 게시판과 정확히 같은 단어로 설명됩니다.
그러나 CVE-2022-32894는 Big Sur 버그로만 나열되며 최신 운영 체제 버전인 macOS 12(Monterey), iOS 15, iPadOS 15 및 iOS 16은 분명히 영향을 받지 않습니다.
Bad Guys가 이를 악용하는 방법을 이미 파악한 후에만 수정된 보안 허점을 제로 데이 가장 예민한 사용자나 시스템 관리자라도 사전에 패치를 적용할 수 있었던 날이 제로였기 때문입니다.
전체 이야기
이번 회보에서 발표된 업데이트는 다음과 같습니다.
iOS 16이 맨 아래에 표시되도록 이메일로 도착한 순서대로 아래에 나열했습니다(숫자 역순).
- APPLE-SA-2022-09-12-5: 사파리 16. 이 업데이트는 macOS Big Sur(버전 11) 및 Monterey(버전 12)에 적용됩니다. macOS 10(Catalina)용 Safari 업데이트가 나열되지 않습니다. 수정된 버그 중 2022개는 원격 코드 실행으로 이어질 수 있습니다. 즉, 부비 트랩된 웹사이트가 컴퓨터에 맬웨어를 삽입할 수 있습니다(이러한 버그 중 어느 것도 나열되지 않더라도 CVE-32917-XNUMX을 남용하여 커널 수준에서 인계할 수 있음). 제로 데이처럼. (보다 HT213442.)
- APPLE-SA-2022-09-12-4: macOS 몬테레이 12.6 이 업데이트에는 CVE-2022-32917에 대한 수정 사항이 포함되어 있으므로 긴급한 것으로 간주될 수 있습니다. (보다 HT213444.)
- APPLE-SA-2022-09-12-3: macOS 빅서 11.7 CVE-2022-32917 제로데이를 포함하여 macOS Monterey에 대해 위에 나열된 것과 유사한 패치입니다. 이 Big Sur 업데이트는 위에서 설명한 두 번째 커널 제로데이인 CVE-2022-32894도 패치합니다. (보다 HT213443.)
- APPLE-SA-2022-09-12-2: 아이폰 OS 15.7 및 iPadOS 15.7 기사 시작 부분에 언급된 바와 같이 이 업데이트는 CVE-2022-32917을 패치합니다. (보다 HT213445.)
- APPLE-SA-2022-09-12-1: 아이폰 OS 16 큰 것! 여기에는 여러 가지 새로운 기능과 함께 macOS용으로 별도로 제공되는 Safari 패치(이 목록의 상단 참조)와 CVE-2022-32917에 대한 수정 사항이 포함됩니다. 흥미롭게도 iOS 16 업그레이드 게시판은 다음과 같이 조언합니다. "[a]추가 CVE 항목이 [곧] 추가될 예정입니다.", 그러나 CVE-2022-23917을 제로 데이로 나타내지는 않습니다. iOS 16이 아직 공식적으로 "야생" 자체로 간주되지 않았기 때문인지 또는 알려진 익스플로잇이 아직 패치되지 않은 iOS 16 베타에서 작동하지 않기 때문인지는 말할 수 없습니다. 그러나 버그는 실제로 iOS 15에서 iOS 16 코드베이스로 이월된 것 같습니다. (보다 HT213446.)
무엇을해야 하는가?
언제나처럼, 일찍 패치하고 자주 패치하십시오.
iOS 15에서 iOS XNUMX로의 전면적인 업그레이드 아이폰 OS 16.0, 설치 후 자체 보고하므로 iOS 15의 알려진 버그를 패치합니다. (아직 iPadOS 16에 대한 발표는 보지 못했습니다.)
아직 업그레이드할 준비가 되지 않았다면 다음으로 업그레이드하십시오. 아이폰 OS 15.7, 제로 데이 커널 구멍 때문입니다.
iOS 16이 아직 언급되지 않은 iPad에서는 iPadOS 15.7 지금 당장 – 알려진 악용 가능한 커널 결함에 불필요하게 노출될 수 있으므로 iPadOS 16이 나올 때까지 기다리지 마십시오.
Mac에서 Monterey와 Big Sur는 Safari를 패치하기 위한 이중 업데이트를 얻습니다. 사파리 16, 그리고 하나는 운영 체제 자체에 대한 것입니다. 맥 OS 11.7 (빅 서) 또는 맥 OS 12.6 (몬터레이).
이번에는 iOS 12용 패치가 없고 macOS 10(Catalina)에 대한 언급도 없습니다. Catalina가 더 이상 지원되지 않거나 이러한 버그를 포함하기에는 너무 오래되었는지 여부를 알려드릴 수 없습니다.
모든 CVE 업데이트에 대해 이 공간을 시청하십시오!
