애플 각종 OS에서 제로데이 취약점 2개 패치돼
- 이미 공격자들이 공략하고 있던 취약점 2개
- 둘 다 메모리에서 발견된 취약점, 웹킷 엔진과도 관련
- 구글 크롬 브라우저에서 이번 달 초에 패치된 바로 그 취약점
애플이 이번 주말 자사에서 개발한 각종 OS들과 사파리 웹 브라우저의 보안 업데이트를 실시했다. 두 개의 취약점을 공격자들이 실제 공격에 활용했다는 사실이 밝혀지면서였다. 공격자들은 소수의 표적을 공략하기 위해 이 두 개의 취약점을 악용했다고 하는데, 자세한 내용은 아직까지 공개되지 않고 있다. 피해 내용도 아직은 알려진 바가 없다.
두 개의 제로데이 취약점
문제의 취약점은 CVE-2025-43529와 CVE-2025-14174다. 이를 간략히 정리하면 다음과 같다.
1) CVE-2025-43529 : 웹킷(WebKit)에서 발생하는 UaF 취약점. CVSS 점수는 아직 없다. 임의 코드 실행 공격을 가능하게 한다.
2) CVE-2025-14174 : 웹킷에서 발견된 메모리 손상 취약점. 메모리 내용을 조작하거나 왜곡시킬 수 있게 한다.
UaF는 Use after Free의 준말이다. 이미 해제가 되어 자유로운 상태가 된 메모리 영역을, 프로그램이 착각하여 다시 사용하게 되는 상태를 말한다. 컴퓨터 프로그램이 시작되면, 특정 메모리 영역을 할당 받는다. 그리고 프로그램이 돌아가는 동안 이 메모리 영역만 사용한다. 프로그램이 종료되면 해당 메모리 영역과의 관계가 풀리게 되는데, 이를 ‘해제된다’고 한다. 프로그램은 이 영역을 건드릴 수 없게 된다. 그 영역은 이미 다른 프로그램에 할당되어 있을 수도 있다. 그런데 이미 종료된 프로그램이 과거에 연결됐던 메모리 영역에 접근하는 경우가 있는데, 이 때 그 메모리 영역을 다른 프로그램이 사용하고 있었다면, 거기에 저장돼 있던 데이터가 노출되게 된다. 이런 상황을 UaF라고 한다.
웹킷은 사파리 브라우저나 iOS 및 맥OS, iPadOS 등 여러 가지 애플발 OS의 모든 브라우저에서 공통으로 사용되는 요소다. 뿐만 아니라 이런 브라우저들과 연동되는 각종 앱들도 웹킷과 연결돼 있다. 그렇다는 건 웹킷이 OS단 전반에서 상당한 신뢰를 받는다는 의미가 되며, 이는 다시 ‘권한이 매우 높다’는 뜻으로도 이어진다.
권한이 높으므로 메모리에도 자유롭게 접근하고, 시스템 API도 자주 호출할 수 있으며, GPU와 각종 라이브러리와도 깊게 연결돼 있다. 이런 웹킷이기에, 공격자가 장악하거나 주무를 수 있게 되면 상당히 여러 부분에 닿을 수 있게 된다. 공격자 입장에서는 넓은 공격 표면을 제공해 주는 효율성 높은 통로라고도 할 수 있다.
현재 이 두 가지 취약점에 노출돼 있는 건 iOS, iPadOS, 맥OS, tvOS, 워치OS, 비전OS, 사파리 웹 브라우저다. 사용자라면 이번 업데이트를 최대한 빨리(될 수 있는 한 ‘자동’으로) 적용하는 게 안전하다.
구글 크롬 브라우저에서도 같은 취약점이
CVE-2025-14174의 경우 이번 달 10일 구글에서 패치한 크롬 브라우저 취약점과 동일한 것이라는 점에서 주목을 받고 있다. 구글의 경우 취약점을 패치하면서 “자사 오픈소스 라이브러리인 앵글(ANGLE)에서 발생한 아웃오브바운즈(out-of-bounds) 메모리 취약점”이라고 설명했었다. 같은 취약점을 두고 애플은 ‘메모리 손상’ 취약점이라고 했는데, 이 둘의 차이는 뭘까?
아웃오브바운즈는 허용된 메모리 영역을 벗어나게 해 주는 취약점으로, 이 때문에 메모리 손상이 야기될 수 있다. 즉 아웃오브바운즈는 메모리에서 발생하는 여러 가지 버그나 오류의 원인 중 하나라고 할 수 있고, 메모리 손상은 메모리에서 나타나는 여러 가지 안 좋은 결과 중 하나다. 아웃오브바운즈는 원인에 대한 이야기이고, 메모리 손상은 결과에 대한 이야기라는 차이가 있는 것이다. 두 회사가 사용하는 표현이 다르다고 해서 다른 이야기를 하는 건 아니라는 의미다.
패치된 OS 버전과 장비 이름은 다음과 같다.
1) iOS / iPadOS 26.2 버전 : 아이폰 11 이후 모델, 아이패드 프로 12.9인치 3세대 이후 모델, 아이패드 프로 11인치 1세대 이후 모델, 아이패드 에어 3세대 이후 모델, 아이패드 8세대 이후 모델, 아이패드 미니 5세대 이후 모델
2) iOS / iPadOS 18.7.3 버전 : 아이폰 XS 이후 모델, 아이패드 프로 13인치, 아이패드 프로 12.9인치 3세대 이후 모델, 아이패드 프로 11인치 1세대 이후 모델, 아이패드 에어 3세대 이후 모델, 아이패드 7세대 이후 모델, 아이패드 미니 5세대 이후 모델
3) 맥OS 타호 26.2 : 맥OS 타호가 설치된 모든 맥
4) tvOS 26.2 : 애플 TV HD와 애플 TV 4K(모든 모델)
5) 워치OS 26.2 : 애플워치 6 이후 모델
6) 비전OS 26.2 : 애플 비전 프로 모든 모델
7) 사파리 26.2 : 맥OS 소노마 및 맥OS 세콰이아를 실행하는 모든 맥
한편 애플 생태계에서는 2025년 한 해에만 9개의 취약점이 발견됐다.
1) CVE-2025-24085
2) CVE-2025-24200
3) CVE-2025-24201
4) CVE-2025-31200
5) CVE-2025-31201
6) CVE-2025-43200
7) CVE-2025-43300
8) CVE-2025-43529
9) CVE-2025-14174🆃🆃🅔
by 문가용 기자(anotherphase@thetechedge.ai)
Related Materials
- [1] Apple Fixes Two Zero‑Day Flaws Exploited in ‘Sophisticated’ Attacks, BleepingComputer, 2025년
- [2] Apple Patches Two Zero‑Day Vulnerabilities Exploited in Targeted iPhone Attacks (CVE‑2025‑31200, CVE‑2025‑31201), ThaiCERT, 2025년
- [3] Apple Patches First Actively Exploited Zero‑Day of 2025 on Its Devices (CVE‑2025‑24085), SC Media, 2025년
- [4] Apple Patches CVE‑2025‑43300 Zero‑Day in iOS, iPadOS and macOS, The Hacker News, 2025년
문가용 기자
문가용 기자
![[TE머묾] 이민국에 대항하는 미국 시민들, 한국에도 힌트가 되다](https://images.unsplash.com/photo-1762468046498-461933328de6?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDIyfHxjaXRpemVuc2hpcHxlbnwwfHx8fDE3Njc4ODE0NjR8MA&ixlib=rb-4.1.0&q=80&w=600)
