애플 각종 OS에서 제로데이 취약점 2개 패치돼

애플이 이번 주말 자사에서 개발한 각종 OS들과 사파리 웹 브라우저의 보안 업데이트를 실시했다. 두 개의 취약점을 공격자들이 실제 공격에 활용했다는 사실이 밝혀지면서였다. 공격자들은 소수의 표적을 공략하기 위해 이 두 개의 취약점을 악용했다고 하는데, 자세한 내용은 아직까지 공개되지 않고 있다. 피해 내용도 아직은 알려진 바가 없다.

두 개의 제로데이 취약점

문제의 취약점은 CVE-2025-43529와 CVE-2025-14174다. 이를 간략히 정리하면 다음과 같다.
1) CVE-2025-43529 : 웹킷(WebKit)에서 발생하는 UaF 취약점. CVSS 점수는 아직 없다. 임의 코드 실행 공격을 가능하게 한다.
2) CVE-2025-14174 : 웹킷에서 발견된 메모리 손상 취약점. 메모리 내용을 조작하거나 왜곡시킬 수 있게 한다.

웹킷은 사파리 브라우저나 iOS 및 맥OS, iPadOS 등 여러 가지 애플발 OS의 모든 브라우저에서 공통으로 사용되는 요소다. 뿐만 아니라 이런 브라우저들과 연동되는 각종 앱들도 웹킷과 연결돼 있다. 그렇다는 건 웹킷이 OS단 전반에서 상당한 신뢰를 받는다는 의미가 되며, 이는 다시 ‘권한이 매우 높다’는 뜻으로도 이어진다. 

권한이 높으므로 메모리에도 자유롭게 접근하고, 시스템 API도 자주 호출할 수 있으며, GPU와 각종 라이브러리와도 깊게 연결돼 있다. 이런 웹킷이기에, 공격자가 장악하거나 주무를 수 있게 되면 상당히 여러 부분에 닿을 수 있게 된다. 공격자 입장에서는 넓은 공격 표면을 제공해 주는 효율성 높은 통로라고도 할 수 있다. 

현재 이 두 가지 취약점에 노출돼 있는 건 iOS, iPadOS, 맥OS, tvOS, 워치OS, 비전OS, 사파리 웹 브라우저다. 사용자라면 이번 업데이트를 최대한 빨리(될 수 있는 한 ‘자동’으로) 적용하는 게 안전하다. 

구글 크롬 브라우저에서도 같은 취약점이

CVE-2025-14174의 경우 이번 달 10일 구글에서 패치한 크롬 브라우저 취약점과 동일한 것이라는 점에서 주목을 받고 있다. 구글의 경우 취약점을 패치하면서 “자사 오픈소스 라이브러리인 앵글(ANGLE)에서 발생한 아웃오브바운즈(out-of-bounds) 메모리 취약점”이라고 설명했었다. 같은 취약점을 두고 애플은 ‘메모리 손상’ 취약점이라고 했는데, 이 둘의 차이는 뭘까?

아웃오브바운즈는 허용된 메모리 영역을 벗어나게 해 주는 취약점으로, 이 때문에 메모리 손상이 야기될 수 있다. 즉 아웃오브바운즈는 메모리에서 발생하는 여러 가지 버그나 오류의 원인 중 하나라고 할 수 있고, 메모리 손상은 메모리에서 나타나는 여러 가지 안 좋은 결과 중 하나다. 아웃오브바운즈는 원인에 대한 이야기이고, 메모리 손상은 결과에 대한 이야기라는 차이가 있는 것이다. 두 회사가 사용하는 표현이 다르다고 해서 다른 이야기를 하는 건 아니라는 의미다.

패치된 OS 버전과 장비 이름은 다음과 같다.
1) iOS / iPadOS 26.2 버전 : 아이폰 11 이후 모델, 아이패드 프로 12.9인치 3세대 이후 모델, 아이패드 프로 11인치 1세대 이후 모델, 아이패드 에어 3세대 이후 모델, 아이패드 8세대 이후 모델, 아이패드 미니 5세대 이후 모델

2) iOS / iPadOS 18.7.3 버전 : 아이폰 XS 이후 모델, 아이패드 프로 13인치, 아이패드 프로 12.9인치 3세대 이후 모델, 아이패드 프로 11인치 1세대 이후 모델, 아이패드 에어 3세대 이후 모델, 아이패드 7세대 이후 모델, 아이패드 미니 5세대 이후 모델

3) 맥OS 타호 26.2 : 맥OS 타호가 설치된 모든 맥
4) tvOS 26.2 : 애플 TV HD와 애플 TV 4K(모든 모델)
5) 워치OS 26.2 : 애플워치 6 이후 모델
6) 비전OS 26.2 : 애플 비전 프로 모든 모델
7) 사파리 26.2 : 맥OS 소노마 및 맥OS 세콰이아를 실행하는 모든 맥

한편 애플 생태계에서는 2025년 한 해에만 9개의 취약점이 발견됐다. 
1) CVE-2025-24085
2) CVE-2025-24200
3) CVE-2025-24201
4) CVE-2025-31200
5) CVE-2025-31201
6) CVE-2025-43200
7) CVE-2025-43300
8) CVE-2025-43529
9) CVE-2025-14174🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• [1] Apple Fixes Two Zero‑Day Flaws Exploited in ‘Sophisticated’ Attacks, BleepingComputer, 2025년
• [2] Apple Patches Two Zero‑Day Vulnerabilities Exploited in Targeted iPhone Attacks (CVE‑2025‑31200, CVE‑2025‑31201), ThaiCERT, 2025년
• [3] Apple Patches First Actively Exploited Zero‑Day of 2025 on Its Devices (CVE‑2025‑24085), SC Media, 2025년
• [4] Apple Patches CVE‑2025‑43300 Zero‑Day in iOS, iPadOS and macOS, The Hacker News, 2025년

애플, 유럽연합의 5억7천만 달러 벌금에 항소

💡Editor’s Pick - 얼마 전 앱스토어 정책 바꾼 애플, 사실 유럽연합에 크게 양보한 것 - 유럽연합은 계속해서 애플이 독과점 하고 있다고 주장 - 애플, ”유럽연합은 말 잘 바꾸고, 법 마음대로 해석한다” 유럽연합이 선고한 5억7천만 달러 벌금형에 대해 애플이 항소했다. 유럽연합 위원회가 법을 과도하게 해석해 적용했다고 발표하면서였다. 애플은 공식 성명문을 통해

The Tech Edge문가용 기자

요즘 해커들이 애플리케이션을 주로 노리는 이유

💡Editor’s Pick - 애플리케이션 표적으로 한 사이버 공격이 주류 - 애플리케이션 개발의 방법이 근본적으로 바뀐 게 문제 - 게다가 인공지능이 공격자들을 도와주기도 ‘해킹 공격’은 사실 지나치게 광범위한 용어다. 그 짧은 말 안에 너무나 많은 전술과 기법이 녹아 있다. 그 중에는 ‘애플리케이션을 직접 공략하는 것’도 포함되어 있는데, 그 중에서도

The Tech Edge문가용 기자