애플이 지난 14일(현지시간) 업데이트한 모바일 운영체제(OS) iOS7.0.4 버전은 일부 보안 취약점에 대해서만 패치가 이뤄진 것으로 나타났다. 업데이트 발표 하루 전날 공개된 또 다른 취약점에 대해서는 아직 별다른 조치가 취해지지 않고 있는 것이다.
14일 더레지스터 등 외신은 애플이 iOS7.0.4 업데이트를 통해 'CVE-2013-5193'이라고 명명된 취약점을 제거했다고 보도했다. 애플에 따르면 해당 업데이트는 아이폰4, 5세대 아이팟 터치, 아이패드2 등과 후속 제품에 적용된다.
해당 업데이트에는 페이스타임 등 작동 오류를 개선하는 내용과 함께 유료 애플리케이션(앱) 결제 및 앱 내 결제(in app purchase) 관련 버그 수정이 포함됐다. 해당 버그는 비밀번호 없이도 애플 스토어에서 결제가 가능토록 하는 취약점이다.
그러나 iOS7.0.4이 공개되기 하루 전 발표된 취약점에 대해서는 아직 패치 여부가 확인되지 않고 있다. 실제로 애플 웹사이트 내 최근 업데이트 관련 안내문 중에서도 관련 내용은 찾아볼 수 없다.
또 다른 취약점은 지난 13일~14일 양일 간 HP 제로데이 이니셔티브(ZDI) 주최로 일본 도쿄에서 열린 보안컨퍼런스 팍섹2013서 부대행사로 개최된 2회 모바일 피우니움(Pwn2Own)에서 처음 발표됐다.
관련기사
- 아파치 스트러츠2 취약점 노린 해킹 주의2013.11.18
- 익스플로러 보안 업데이트, 취약점 패치 누락 소동2013.11.18
- IE 7, 8 노린 제로데이 취약점 또 발견2013.11.18
- 양지로 나온 보안취약점, 거래 활발2013.11.18
대회에 참석한 중국 보안연구팀 '킨 클라우드 테크'는 애플 iOS7.0.3 버전에서 페이스북 로그인 정보, 사진 등을 빼가는 취약점을 발표해 2만7천500달러(약2천916만원) 상금을 탔다.
피우니움은 윈도, 안드로이드, iOS 등 OS에 대한 취약점을 발표하는 대회로 해당 내용이 위험도가 높고, 중요할수록 이에 대해 높은 보상금을 지급한다.
