OS X 요세미티 10.10.5의 심각한 권한상승 취약점을 차단하는 보안 패치 등장 'SUIDGuard'

2015. 8. 18. 19:21    작성자: ONE™

어제 OS X 요세미티 10.10.5 버전에 또 다른 보안 취약점이 발견되면서 논란이 일고 있다는 소식 전해드렸습니다.

사용자의 동의나 인지 없이 코드 한 줄만으로 간단히 루트 권한을 획득할 수 있기 때문에 시스템 보안에 매우 심각한 취약점으로 알려져 있습니다. 이에 애플의 적극적인 대응책 마련이 매우 시급하다는 주장이 대두되고 있는 상황인데요.

다행히 이 취약점을 처음 발견한 이탈리아의 보안전문가 '루카 토데스코(Luca Todesco)'가 취약점을 차단할 수 있는 툴을 배포하고 있습니다. 원래는 OS X 10.10.4 이전 버전에서 발견된 'DYLD_PRINT_TO_FILE' 취약점을 차단하기 위해 제작한 툴인데, 이번에 발견한 권한상승 취약점을 차단하는 코드를 추가해 넣었다고 합니다. 

'SUIDGuard'라는 BSD 기반의 커널 드라이버인데요. SUID/SGID 루트 바이너리를 보호하여 환경변수가 변조되는 것을 방지하고 NULL 페이지 메모리 공격을 차단하는 기능을 제공하고 있습니다.


* SUIDGuard 설치 전 : tpwn라는 스크립트 실행만으로 루트 권한 획득


* SUIDGuard 설치 후 : 스크립트 강제 종료를 통해 권한 상승을 사전에 차단

SUIDGuard는 공식 사이트를 통해 무료로 내려받을 수 있습니다. 또 소스 투명성을 위해 깃허브에 소스코드도 공개되어 있으므로 악성코드를 해결하기 위해 또 다른 악성코드를 설치하는 것 아닌가 하는 우려는 떨치셔도 좋을 듯합니다. 애플이 조속히 대응책을 마련해서 사용자들을 안심시키는 것이 무엇보다 중요해 보이지만, 당장 컴퓨터 여러 대를 관리하는 시스템 관리자 또는 한 대의 맥의 여러 사람과 공유하는 사용자라면 SUIDGuard 설치를 검토해 보시기 바랍니다.

* 나중에 OS X 보안 업데이트가 나와서 SUIDGuard를 삭제하고 싶으면 /Library/Extensions 폴더에 있는 SUIDGuardNG.kext 파일을 삭제하면 됩니다.



참조
SUIDGuard - The OS X security extension

관련 글
• OS X 요세미티 취약점을 노린 새로운 제로데이 익스플로잇 발견... '루트 권한 탈취'
• 애플, OS X 요세미티 10.10.5 정식 업데이트 개시... '모든 맥 사용자에게 권장'
• 애플, OS X 긴급 보안 업데이트 배포... 'NTP 원격코드 실행 취약점 해결'
• 애플, '프릭(Freak)' 취약점 해결하는 OS X 보안 업데이트 배포 시작

    
  1. Blog Icon
    아무거나

    이럴수가...요즘 되게 취약점이 많네요..

    애플을 기다리는게 안전할까요...이걸 까는 게 안전할까요....

  2. Blog Icon
    gonagi

    원격 취약점을 이용한 것이 아니고 지역에서 일반 프로세스의 권한을 상승시키는 것이므로, 신뢰할 수 없는 곳에서 가져온 프로그램을 실행하지 않는 한 그리 위험하지 않을 것이라고 생각됩니다. 이미 10.10.4때부터 취약점을 알고 있었을테니, 조만간 애플에서 긴급 패치라도 제공해주지 않을까 생각됩니다.

  3. Blog Icon
    아무거나

    오...감사합니다!

  4. Blog Icon
    금연토끼

    전 그냥 설치 했습니다..

  5. 맥 사용자 저변이 확대되고 있는 증거라고 좋게 봐야할...까요?

  6. Blog Icon
    음...

    음... 저변확대라고 보긴 좀 힘들죠 ㅋㅋ 이게 우리나라에만 국한된 문제가 아니라 전 세계적인 문제니까요. ㅋㅋ 우리나라가 유독 맥 사용자가 많이 없다가 요즘들어 늘어난거같긴 한데 해외에선 예전부터 맥 사용자들이 많았다고 합니다. 물론 그것도 국가마다 조금씩 다르겠지만요.

  7. Blog Icon

    비밀댓글입니다

  8. Blog Icon
    jarreplus

    감사합니다.

  9. Blog Icon
    이상해요

    저는 해봤는데, root 로 안가는데요? 뭔가 잘못하고 있는건가요??

  10. Blog Icon
    6hez

    머 일반사용자는 이런거에 굳이 호들갑 안떨어도 괜찮더라구요 ㅎㅎ 위험한 사이트나 파일을 받지않고 쓰면 느긋하게 정식패치 기다려도 문제가 없습니다. 크랙프로그램 절대 쓰지마시고 무조건 유료 정품만 사용들하시길!

  11. Blog Icon
    오늘샀어요

    포스팅한 글을 맥쓰사에 올릴려고 합니다. 블로그를 링크하려구요 . 괜찮으시겠죠 ㅎ

  12. Blog Icon
    덕팔이

    좋은 정보 감사합니다.

  13. Blog Icon
    海菊

    SUIDGuard 공식 사이트 화면 배경 그림이 동방 지국천왕(사천왕 중 동쪽을 관장하는)이네요.
    불법(佛法)을 수호하고 인간의 선악을 관장하는 호법신, 어릴적 처음 사찰에 갔을때 눈을 부라리고 내려다 보던 무시무시한 목조각의 사천왕상이 무섭기도하고 친근하기도 했던 기억이 있습니다.

  14. Blog Icon
    ero

    이 패치를 하면 특정 게임(eve online)의 실행이 안되네요.

  15. Blog Icon
    A.Angel

    언제부터인가... 맥OS도 보안 문제관련 기사가 끊이질 않네요...;;

  16. Blog Icon
    typ0s2d10

    10.11.4 업데이트를 하시려면
    최신버전을 설치하시거나(아직 테스트 못해봄) /Library/Extensions 에서 SUIDGuardNG.kext를 삭제하신 후 하세요
    아니면 저처럼 삽질을 거듭해야 합니다. ㅠㅠ