본문 바로가기

새소식/Mac

텍스트 한줄로 iOS와 OS X 앱을 강제로 충돌시킬 수 있는 심각한 취약점 발견! 보안 업데이트 시급

올해 초 텍스트 입력 화면에서 특정 문자열을 입력하면 맥용 소프트웨어가 강제로 종료되는 버그가 발현해 상당한 이슈가 됐었는데요, 이번에는 사용자가 글자를 입력하지 않아도, 단순히 어떤 '글자'가 화면에 표시되는 것만으로도 응용 프로그램이 충돌하는 버그가 발견돼 애플 기기 사용자들의 강력한 주의가 요구되고 있습니다.

미국 IT매체 아스테크니카 등 주요 외신에 따르면 OS X 10.8 마운틴 라이언과 iOS 6를 사용 불능 상태로 만들 수 있는 강력한 취약점이 발견되었다고 합니다. 이 취약점은 두 운영체제가 화면에 텍스트를 표시할 때 이용하는 코어텍스트(CoreText) 폰트 렌더링 프레임워크의 버그에 기인한 것으로, 특정 아라비아어 조합이 화면에 노출되는 것만으로도 충돌이 야기된다고 알려져 큰 파장이 일고 있습니다. 

예를 들어, 어떤 사용자가 악의적인 목적을 가지고 많은 사용자가 접속하는 웹 사이트에 해당 문자열을 적어두거나, 아이메시지를 통해 전송하면 웹 브라우저나 메시지 프로그램이 해당 문자열을 표시하는 순간 강제로 종료된다는 것입니다. 아스테크니카는 최근 접속 페이지나 작업 내역을 자동으로 불러오는 프로그램은 지속적 충돌을 야기해 프로그램을 사용하지 못하게 만들 수 있으며, 와이파이 네트워크 이름에 상기 문자열을 쓰는 것만으로도 무선 네트워크 기능이 완전히 마비될 수 있다며 심각한 우려감을 나타냈습니다. 

* 만약 해당 문자열을 포함한 웹 사이트를 열어 사파리가 계속 충돌한다면, shift + option 단축키를 누른 상태에서 사파리를 시작해 최근 방문 사이트를 화면에 띄우지 않을 수 있습니다. 또한, 아이메시지는 앱을 다시 실행하기 전 터미널에 rm -r ~/Library/Messages/chat.* 명령어로 최근 대화 내용을 삭제해 재충돌을 피할 수 있습니다. * 권장하진 않지만, 버그를 직접 체험하고 싶은 분은 사파리로 링크를 접속하시면 됩니다.

아스테크니카는 해당 버그가 이번에 처음 발견된 것은 아니며, 애플이 이미 6개월 전부터 인지하고 있었으나 아직 이를 해결할 수 있는 업데이트 패치를 내놓지는 않았다고 설명했습니다. 다만, 다음 달에 공개될 것으로 알려진 OS X 매버릭스와 iOS 7의 베타 버전에서는 증상이 나타나지 않아 버그가 해결된 것으로 보인다고 덧붙였습니다.

맥 사용자 대다수가 심각한 위협을 받고 있는 상황에서 애플의 신속한 대응이 필요해 보입니다. 한편, 자체 텍스트 렌더링 엔진을 사용하는 파이어폭스나 다른 운영체제에는 해당 버그가 발현하지 않으며, 페이스북 등 일부 웹 서비스 업체는 해당 문자열을 포함한 포스팅을 자동 블라인드 처리(위 이미지)하고 있다고 알려졌습니다.



참조
Ars Technica - Rendering bug crashes OS X, iOS apps with string of Arabic characters

관련 글
• 여덟 글자가 입력되는 즉시 맥용 소프트웨어가 충돌하는 '희귀한 버그' 발견돼
• 애플, 맥용 웹 브라우저에 광고 띄우는 트로이 목마 확산 조기진화
• OS X 보안 기술 우회하기 위해 정상적인 애플 개발자 ID로 만든 멀웨어 발견