Home > 전체기사

삼성 스마트폰에서 세 가지 제로데이 취약점 발견돼

  |  입력 : 2022-11-10 13:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
삼성 스마트폰에서 발견된 세 가지 제로데이 취약점...스파이웨어 업체에 악용돼

요약 : 보안 블로그 시큐리티어페어즈가 구글 프로젝트 제로 팀의 발표를 인용해 삼성 스마트폰에서 세 가지 제로데이 취약점이 발견됐다고 보도했다. 이 취약점은 CVE-2021-25337, CVE-2021-25369, CVE-2021-25370으로, 한 스파이웨어 개발 업체가 이미 이 취약점을 악용한 제품을 개발해 판매하고 있었다고 한다. 세 가지 취약점 전부 리눅스 커널 등이 아니라 삼성이 직접 개발한 요소들에서 나왔다고 한다. 두 개 취약점은 논리와 설계 부분에서 발견된 것이기도 하다.

[이미지 = utoimage]


배경 : CVE-2021-25337와 CVE-2021-25369는 접근 제어 관련 취약점, CVE-2021-25370은 파일 처리 관련 오류라고 한다. 전부 SMR Mar-2021 Release 1 이전 버전들에서 발견됐다. 엑시노스 SOC의 커널 4.14.113 버전을 가진 장비들이 위험할 수 있다. 갤럭시 S10, A50, A51가 여기에 해당한다고 한다. 구글이 삼성에 이 사실을 알린 건 2020년 후반, 삼성이 패치한 건 2021년 3월이다.

말말말 : “삼성 측은 보안 권고문을 낼 때 ‘이미 공격에 활용되고 있다’는 사실을 언급하지 않았습니다. 이러한 내용은 보안 팀들이나 개개인이 스스로를 보호하는 데 중요한 정보입니다. 취약점 공개는 반드시 투명하게 해야 합니다.” -구글-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야