웹 브라우저는 복잡한 애플리케이션이며 악의적인 웹 페이지가 샌드박스를 벗어나지 않도록 지속적으로 패치해야 합니다. Apple은 이제 심각한 보안 취약점을 해결하는 Safari용 수정 사항을 배포하고 있습니다.
Apple은 현재 iOS 16.3.1, iPadOS 16.3.1, macOS Ventura 13.2.1 및 몇 가지 보안 문제를 해결하는 다른 플랫폼용 업데이트를 출시하고 있습니다. iPhone, iPad 및 Mac 업데이트에는 모두 Safari 엔진(WebKit) 및 운영 체제 커널에 대한 수정 사항이 포함되어 있으며 macOS 업데이트에는 바로 가기에 대한 추가 보안 수정 사항이 포함되어 있습니다.
WebKit 엔진 업데이트는 특정 JavaScript 라이브러리(jsonwebtoken)를 부적절하게 사용하면 호스트 장치에서 원격 코드 실행을 허용할 수 있는 버그를 수정합니다. 애플은 “이 문제가 적극적으로 악용되었다는 보고를 인지하고 있다”고 밝혔는데, 이는 일부 웹 페이지에서 사용될 수 있다는 뜻이다. 원래 식별자 CVE-2022-23529로 보고되었지만 National Vulnerability Database에서 소프트웨어 취약점으로 분류하지 않아 공식적으로 철회되었습니다.
iOS 및 iPadOS 업데이트는 또한 Pangu Lab의 Xinru Chi와 Google Project Zero의 Ned Williamson이 발견한 커널 수준 권한으로 앱이 임의의 코드를 실행할 수 있는 버그를 수정했습니다. macOS 업데이트는 앱이 바로 가기를 통해 “보호되지 않은 사용자 데이터 관찰”을 허용하는 추가 취약성을 해결합니다. 이는 분명히 다른 플랫폼에 영향을 미치지 않습니다.
가능한 한 빨리 iPhone, iPad 및 Mac을 업데이트하여 최신 보안 패치를 적용하는 것이 좋습니다. Apple은 또한 아직 Ventura로 업데이트되지 않았거나 최신 릴리스를 실행하기에는 너무 오래된 컴퓨터를 위해 Safari 16.3.1을 macOS Big Sur 및 macOS Monterey에 배포하고 있습니다. Safari 자체를 사용하지 않더라도 취약합니다. iPhone 및 iPad의 모든 웹 브라우저는 Safari의 WebKit 엔진을 사용하고 많은 Mac 앱은 내장된 렌더링 엔진을 사용하여 웹 콘텐츠를 표시합니다.
출처: GitHub, Apple(iOS, macOS, Safari)
