이 대규모 악용은 해커가 당신이 좋아하는 앱에 침투할 수 있게 합니다 | ENBLE
대규모 악용, 해커가 당신이 좋아하는 앱에 침투 가능 | ENBLE
웹사이트와 앱에서 사용되는 웹피(WebP) 이미지에 영향을 미치는 대규모 보안 버그가 방금 발견되었으며, 해커가 컴퓨터에 침입하여 데이터를 추출할 수 있는 가능성이 있습니다. 실제로 구글은 이미 이 버그가 악용되고 있는 것을 확인했습니다. 따라서 가능한 빨리 컴퓨터를 패치해야 합니다.
이 발견은 연구원인 알렉스 이바노프스(lex Ivanovs)가 블로그 글에서 이 버그에 대해 자세히 설명했습니다. 현재로서는 Chrome, Firefox, Edge, Brave를 포함한 대부분의 웹 브라우저에 영향을 미치는 것으로 보입니다. 웹피 이미지는 전 세계적으로 많은 웹사이트와 앱에서 사용되므로, 많은 사이트와 앱이 영향을 받을 수 있습니다.
이 취약점은 웹피 이미지를 해석하고 표시하는 코덱의 힙 오버플로우 버그와 관련이 있습니다. 이 오버플로우 버그는 앱의 “힙” 메모리에 설계된 것보다 더 많은 데이터가 전송될 때 발생합니다. 이로 인해 악성 코드가 좋은 코드를 대체할 수 있으며, 그 결과 앱이 예상치 못한 방식으로 동작할 수 있습니다.
웹피 파일의 경우, 공격자는 악성 코드를 숨긴 웹피 이미지를 생성할 수 있습니다. 이 이미지를 보면 코드가 실행되어 공격자가 컴퓨터에 액세스하거나 저장된 데이터(비밀번호 또는 신용카드 정보 등)를 도용할 수 있습니다.
품질과 파일 크기의 우수한 균형 때문에 많은 웹사이트가 웹피 파일을 사용하고 있으므로, 이 취약점에 영향을 받을 수 있는 사용자 수도 매우 많습니다. 하지만 이 버그가 심각한 이유는 그것뿐만이 아닙니다.
- 만약 당신이 아이폰으로 실수로 911에 전화를 건 적이 있다면, 지금 이 ...
- 애플의 아이폰 15 프로 맥스는 1,199달러부터 시작하지만, 128GB는 구할...
- 이렇게 하면 iOS 17에서 개인화된 연락처 포스터를 설정할 수 있습니다
웹사이트 뿐만 아니라
이 버그는 웹피 코덱에 영향을 미치기 때문에, 웹피 이미지를 표시해야 하는 많은 앱에도 존재합니다. 영향을 받는 앱에는 Telegram, 1Password, Signal, LibreOffice, Affinity 디자인 앱 등이 포함됩니다.
이러한 앱의 개발자들은 수정 패치를 배포하기 시작했으며, 1Password, Chrome, Firefox, Edge, Brave는 업데이트를 발표했습니다. Apple도 macOS Ventura에 버그를 수정한 업데이트를 공개했습니다.
이바노프스는 이 취약점이 Apple의 보안 엔지니어링 및 아키텍처 팀과 토론토 대학교 몬크 스쿨의 시티즌 랩과 협력하여 처음으로 보고된 것이라고 말합니다. 이 버그는 2023년 9월 6일에 제출되었으며, CVE-2023-4863이라는 식별자가 있습니다.
이 버그의 잠재적 심각성 때문에 가능한 빨리 앱의 업데이트를 확인하고, 최대한 빠르게 업데이트하는 것이 가장 안전한 방법입니다.
