보안 연구원들은 모든 현재 iPhone, iPad 및 Mac 모델에 존재하는 두 개의 구멍과 더 오래된 장치를 발견했습니다. Slap and Flop이라는 이름 의이 두 구멍은 공격자가 사용자의 장치에서 웹 탭의 내용이 열리는 것을 볼 수 있습니다.
이 차이는 A15 및 M2 칩에서 유래하며 오늘날 Apple 장치의 최신 버전을 포함하여 다음 세대의 모든 칩에 계속 나타납니다.
슬랩과 플롭이란 무엇입니까?
조지아 기술 연구소 (Georgia Institute of Technology)의 연구팀은 두 개의 슬랩 구멍 (하중 주소 예측을 통한 추측 공격)과 플롭 (False Load Output Predictions)을 발견했습니다. 둘 다 이전의 우려를 일으킨 Specter 및 Meltdown 구멍과 유사한 메커니즘에 의해 작동합니다.
이 모든 구멍은 Apple과 다른 많은 칩 제조업체가 투기 실행이라고하는 가공 속도를 최적화하는 데 사용하는 기술에서 비롯됩니다. 이 방법은 칩이 다음에 필요한 데이터를 미리 실행할 수 있다고 예측하는 데 도움이됩니다.
공격자 가이 프로세스에 악성 데이터를 삽입 할 수 있다면 보호되어야 할 메모리 컨텐츠를 읽을 수 있습니다.
격차의 위험 수준
Safari에서 각 브라우저 탭은 완전히 격리되도록 설계되어 (샌드 박스) 열린 웹 사이트가 다른 탭에서 데이터에 액세스 할 수 없도록합니다.
그러나 슬랩은 독성 웹 사이트가 Safari의 다른 탭의 데이터에 액세스하게 만들 수 있습니다. 이로 인해 전자 메일을 읽거나 Apple지도에서 위치를보기 또는 사용자 은행 정보를 사용하는 공격자로 이어질 수 있습니다.
한편, 플롭은 사파리뿐만 아니라 크롬 및 기타 브라우저에도 영향을 미치기 때문에 훨씬 더 위험합니다.
걱정스러운 점은 공격자 가이 구멍을 악용하기 위해 장치에 맬웨어를 설치할 필요가 없다는 것입니다. Apple의 소스 코드의 오류를 통해 공격이 완전히 발생할 수 있으며 사용자가 발생하는시기를 감지하기가 어렵습니다.
어떤 장비가 영향을 받습니까?
A15 이상의 칩 이상을 사용하는 Apple 장치는 영향을받을 위험이 있습니다. 연구원들은 다음을 포함하여 쉽게 공격 할 수있는 장치 목록을 확인했습니다.
– iPhone : iPhone 13, iPhone 14, iPhone 15, iPhone 16, iPhone SE (3 세대)
– iPad : iPad Air (2021 년부터), iPad Pro (2021 년부터), iPad Mini (2021 년부터)
-Mac : MacBook Air (2022 년부터), MacBook Pro (2022 년부터), Mac Mini (2023 년부터), Mac Studio (2023 년부터), IMAC (2023 년), Mac Pro (2023)
애플의 실제 위험과 반응
보안 연구원들은이 두 홀이 실제로 악용되었다는 증거가 없음을 확인했습니다. Apple은 2024 년 5 월부터 Slap의 경우, Flop의 경우 2024 년 9 월에 이러한 오류에 대해 알게되었으며 회사는 조용히 극복하기 위해 노력했습니다.
Apple은 Bleeping Computer에 보낸 간단한 진술에서 다음과 같이 말했습니다 : “분석을 바탕 으로이 문제가 사용자에게 즉각적인 위험을 초래한다고 생각하지 않습니다.”
현재, 이용의 위험을 최소화하기 위해 신뢰할 수있는 웹 사이트에 대한 액세스를 제한하는 것 외에도 사용자에게는 특정 예방 조치가 없습니다.
#slap #flop #apple #luh, #domnay
보안 연구원들은 모든 현재 iPhone, iPad 및 Mac 모델에 존재하는 두 개의 구멍과 더 오래된 장치를 발견했습니다. 이 두 구멍은 명명되었습니다 찰싹 그리고 실패공격자가 사용자의 장치에서 웹 탭의 내용이 열린 것을 볼 수 있습니다.
이 차이는 A15 및 M2 칩에서 유래하며 오늘날 Apple 장치의 최신 버전을 포함하여 다음 세대의 모든 칩에 계속 나타납니다.
슬랩과 플롭이란 무엇입니까?
두 구멍 슬랩 (부하 주소 예측을 통한 투기 공격) 그리고 플롭 (False Load 출력 예측) 연구팀이 발견했습니다 조지아 기술 연구소. 둘 다 구멍과 유사한 메커니즘에 따라 작동합니다. 유령 그리고 붕괴 이전 우려를 일으켰습니다.
이 모든 구멍은 Apple과 다른 많은 칩 제조업체가 가공 속도를 최적화하는 데 사용하는 기술에서 나옵니다. “투기 실행”(투기 적. 이 방법은 칩이 다음에 필요한 데이터를 미리 실행할 수 있다고 예측하는 데 도움이됩니다.
공격자 가이 프로세스에 악성 데이터를 삽입 할 수 있다면 보호되어야 할 메모리 컨텐츠를 읽을 수 있습니다.
격차의 위험 수준
위에 원정 여행각 브라우저 탭은 완전히 격리되도록 설계되었으며 (샌드 박스) 열린 웹 사이트가 다른 탭에서 데이터에 액세스 할 수 없도록합니다.
하지만, 찰싹 Safari의 다른 탭에서 독성 웹 사이트 액세스 데이터를 만들 수 있습니다. 이로 인해 전자 메일을 읽거나 Apple지도에서 위치를보기 또는 사용자 은행 정보를 사용하는 공격자로 이어질 수 있습니다.
그 동안에, 실패 사파리뿐만 아니라 또한 크롬 그리고 다른 브라우저.
걱정스러운 점은 공격자 가이 구멍을 악용하기 위해 장치에 맬웨어를 설치할 필요가 없다는 것입니다. Apple의 소스 코드의 오류를 통해 공격이 완전히 발생할 수 있으며 사용자가 발생하는시기를 감지하기가 어렵습니다.
어떤 장비가 영향을 받습니까?
모든 Apple 장치는 칩을 사용합니다 A15 이상 또는 M2 이상 영향을받을 위험이 있습니다. 연구원들은
- iPhone :
- iPhone 13
- iPhone 14
- iPhone 15
- iPhone 16
- iPhone SE (3 세대)
- iPad :
- iPad Air (2021 년부터)
- iPad Pro (2021 년부터)
- iPad Mini (2021 년부터)
- 스코틀랜드 사람:
- MacBook Air (2022 년부터)
- MacBook Pro (2022 년부터)
- Mac Mini (2023 년부터)
- Mac Studio (2023 년부터)
- Imac (2023 년부터)
- Mac Pro (2023)
애플의 실제 위험과 반응
보안 연구원들은이 두 홀이 실제로 악용되었다는 증거가 없음을 확인했습니다.
Apple은 2024 년 5 월부터 Slap의 경우, Flop의 경우 2024 년 9 월에 이러한 오류에 대해 알게되었으며 회사는 조용히 극복하기 위해 노력했습니다.
보낸 간단한 성명서에서 블리프 컴퓨터애플은 말했다 : “분석을 바탕 으로이 문제가 사용자에게 즉각적인 위험을 초래한다고 생각하지 않습니다.”
현재, 이용의 위험을 최소화하기 위해 신뢰할 수있는 웹 사이트에 대한 액세스를 제한하는 것 외에도 사용자에게는 구체적인 예방 조치가 없습니다.
