애플이 특정 대상을 겨냥한 매우 정교한 공격에 악용된 두 개의 제로데이 취약점에 대한 긴급 보안 업데이트를 발표했습니다. 이번 업데이트는 실제 공격에서 악용되고 있는 것으로 확인된 중대한 보안 위협에 대응하기 위한 조치입니다.
발견된 제로데이 취약점
CVE-2025-31200 (CoreAudio 취약점)
- CoreAudio의 메모리 손상 취약점으로 악의적으로 제작된 미디어 파일의 오디오 스트림 처리 시 원격 코드 실행이 가능합니다
- 애플과 구글 위협 분석 팀(Google Threat Analysis Group)이 공동으로 발견했습니다
CVE-2025-31201 (RPAC 취약점)
- RPAC의 버그로, 공격자가 읽기 또는 쓰기 접근 권한을 가진 상태에서 포인터 인증(PAC)을 우회할 수 있게 해줍니다
- PAC는 메모리 취약점에 대비하는 iOS 보안 기능입니다
영향을 받는 기기 및 패치 버전
이 두 취약점은 iOS, macOS, tvOS, iPadOS, visionOS에 모두 영향을 미치며, 다음 버전에서 수정되었습니다:
- iOS 18.4.1
- iPadOS 18.4.1
- tvOS 18.4.1
- macOS Sequoia 15.4.1
- visionOS 2.4.1
2025년 제로데이 취약점 현황
애플은 2025년 들어 이번 취약점을 포함해 총 5개의 제로데이 취약점을 수정했습니다. 앞서 1월과 2월에 각각 CVE-2025-24085와 CVE-2025-24200 취약점이 패치되었고, 3월에는 WebKit 제로데이 취약점 CVE-2025-24201도 해결되었습니다.
긴급 대응 권고
보안 전문가들은 이번 취약점이 실제 표적형 공격에 사용된 만큼, 애플 기기를 사용하는 모든 사용자가 즉시 보안 업데이트를 적용해야 한다고 강조했습니다. 특히 공공기관 및 기업 내 애플 기기 사용자는 신속한 대응이 필요합니다.
애플은 이 취약점이 어떻게 공격에 악용되었는지에 대한 추가적인 세부 사항을 공개하지 않았지만, 사용자들에게 자동 업데이트 활성화 또는 수동 업그레이드를 조속히 진행할 것을 강력히 권고하고 있습니다.