애플이 실제로 악용되고 있는 두 가지 제로데이 취약점을 해결하기 위해 iOS, iPadOS, macOS, visionOS 및 Safari 웹 브라우저에 대한 보안 업데이트를 긴급히 배포했다. 이번 패치는 악성 웹 콘텐츠를 처리할 때 발생할 수 있는 치명적인 보안 문제를 해결하기 위한 조치다.
애플은 CVE-2024-44308과 CVE-2024-44309로 명명된 두 가지 취약점을 수정했다고 밝혔다. CVE-2024-44308은 JavaScriptCore의 취약점으로, 악성 웹 콘텐츠 처리 시 임의 코드 실행으로 이어질 수 있다. CVE-2024-44309는 WebKit의 쿠키 관리 취약점으로, 크로스 사이트 스크립팅(XSS) 공격에 악용될 수 있는 결함이다.
애플은 CVE-2024-44308에 대해 향상된 검사 방식을 적용하고, CVE-2024-44309에 대해 향상된 상태 관리로 문제를 해결했다고 전했다. 이번 취약점들은 특히 인텔 기반 Mac 시스템에서 활발히 악용되었을 가능성이 제기됐으며, 사용자는 반드시 업데이트를 통해 기기를 보호해야 한다고 강조했다.
구글 위협 분석 그룹(TAG)의 클레망 르시뉴(Clément Lecigne)와 브누아 세븐스(Benoît Sevens)가 이 두 취약점을 발견해 애플에 보고했다. 애플은 이번 취약점들이 고도로 표적화된 정부 지원 또는 용병 스파이웨어 공격의 일부로 사용됐을 가능성이 있다고 밝혔다. 다만, 익스플로잇의 구체적인 세부 사항은 공개되지 않았다.
애플은 다음 운영 체제 및 기기에 대해 업데이트를 제공했다.
-iOS 18.1.1 및 iPadOS 18.1.1: iPhone XS 이상, iPad Pro 13인치, iPad Pro 12.9인치 3세대 이상, iPad Pro 11인치 1세대 이상, iPad Air 3세대 이상, iPad 7세대 이상, iPad mini 5세대 이상
-iOS 17.7.2 및 iPadOS 17.7.2: iPhone XS 이상, iPad Pro 13인치, iPad Pro 12.9인치 2세대 이상, iPad Pro 10.5인치, iPad Pro 11인치 1세대 이상, iPad Air 3세대 이상, iPad 6세대 이상, iPad mini 5세대 이상
-macOS Sequoia 15.1.1: macOS Sequoia를 실행하는 Mac
-visionOS 2.1.1: Apple Vision Pro
-Safari 18.1.1: macOS Ventura 및 macOS Sonoma를 실행하는 Mac
애플은 올해 들어 지금까지 총 4건의 제로데이 취약점을 해결했다고 밝혔다. 이번 패치에는 Pwn2Own 밴쿠버 해킹 대회에서 시연된 제로데이(CVE-2024-27834)도 포함됐다. 나머지 세 건은 2024년 1월과 3월에 각각 패치된 바 있다.
애플은 사용자들이 가능한 한 빨리 기기를 최신 버전으로 업데이트해 잠재적인 위협으로부터 보호할 것을 권장했다.
![[주의] 포티넷 VPN 심각한 결함 발견돼…공격자, 브루트포스 공격 성공해도 들키지 않아](https://www.dailysecu.com/news/photo/202411/161410_189222_2021.jpg)
