애플(Apple)은 올해 처음으로 공격에 악용된 제로데이 취약점을 해결하기 위한 중요한 보안 업데이트를 배포했다. CVE-2024-23222 제로데이 취약점은 아이폰, 맥, 애플TV(iPhone, Mac, Apple TV)를 비롯해 다양한 애플 디바이스에 영향을 미칠 수 있는 WebKit 취약점이다.
이 WebKit 제로데이는 공격자가 표적 디바이스에서 코드 실행 권한을 획득하기 위해 악용할 수 있다는 점에서 심각하다. 익스플로잇에 성공하면 공격자는 취약한 버전의 iOS, macOS, tvOS를 실행하는 디바이스에서 임의의 악성 코드를 실행할 수 있다.
애플은 보안 권고문을 통해 "악의적으로 조작된 웹 콘텐츠를 처리하면 임의의 코드가 실행될 수 있다. 애플은 이 문제가 악용되었을 수 있다는 보고를 인지하고 있다."고 밝혔다.
애플은 iOS 16.7.5 이상, iPadOS 16.7.5 이상, macOS 몬테레이 12.7.3 이상, tvOS 17.3 이상에서 강화된 보안 조치로 CVE-2024-23222 취약점을 해결했다. 이번 패치는 iPhone 8, iPhone XS 이상과 같은 아이폰 모델, 5세대 이후의 아이패드, 맥OS Monterey 이상을 실행하는 맥, 애플 TV HD 및 애플 TV 4K의 모든 모델을 포함한 광범위한 애플 디바이스에 적용된다.
애플 사용자는 가능한 한 빨리 최신 보안 업데이트를 설치해 이 취약점을 악용한 잠재적 공격의 피해를 줄일 수 있도록 해야 한다.
흥미롭게도 Apple은 CVE-2024-23222 패치와 함께 지난해 11월에 최신 디바이스용으로 패치된 다른 두 가지 웹킷 제로데이(CVE-2023-42916 및 CVE-2023-42917)에 대한 패치를 구형 iPhone 및 iPad 모델에도 백포트했다. 구형 사용자들의 안전을 위한 조치다.
2023년 애플은 공격에 악용된 총 20개의 제로데이 취약점을 패치한 바 있다. 이 중 주목할 만한 제로데이 패치는 지난해 11월(CVE-2023-42916 및 CVE-2023-42917), 10월(CVE-2023-42824 및 CVE-2023-5217), 9월(CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 및 CVE-2023-41993)에 적용되었습니다, 7월(CVE-2023-37450 및 CVE-2023-38606), 6월(CVE-2023-32434, CVE-2023-32435 및 CVE-2023-32439), 5월(CVE-2023-32409, CVE-2023-28204 및 CVE-2023-32373), 4월(CVE-2023-28206 및 CVE-2023-28205), 2월(WebKit 제로데이 CVE-2023-23529) 등이다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
