Home > 전체기사
VLC 미디어 플레이어, 15개의 취약점 패치
  |  입력 : 2019-08-21 15:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
고위험군 취약점 2개, 중간급 취약점 5개, 저위험군 3개 등
악성 영상 파일 올리고 사용자가 더블클릭 하도록만 유도하면 익스플로잇 돼


[보안뉴스 문가용 기자] 두 개의 고위험군 취약점이 VLC 미디어 플레이어에서 발견됐다. 공격자가 악의적으로 조작된 .mkv 영상 파일을 통해 이 취약점을 익스플로잇 할 경우 피해자의 컴퓨터에 대한 통제권을 가져올 수 있게 된다고 한다. VLC 미디어 플레이어 개발자가 취약점과 패치를 함께 공개했다.

[이미지 = iclickart]


이번에 발표된 VLC 미디어 플레이어 취약점은 총 15개다. 두 개의 고위험군 취약점 외에도 5개의 중간급 취약점과 3개의 저위험군 취약점이 여기에 포함되어 있다. 나머지는 분류되지 않았다. 15개중 11개는 셈믈 시큐리티(Semmle Security)의 안토니오 모랄레스(Antonio Morales)가 찾아냈다고 한다.

모랄레스는 자신이 발견한 오류를 익스플로잇 하는 것이 꽤나 쉬운 일이라고 평가했다. “제가 공격자라면 영상 파일을 트래커 토렌트(tracker Torrent)에 유명 TV 시리즈나 영화 이름으로 올려놓을 겁니다. 많은 사용자들이 토렌트로 영상을 내려 받겠죠? 그리고 거의 대부분 그 파일을 열려고 할 겁니다. 이 행위를 통해 취약점들 전부를 발동시킬 수 있습니다.”

모랄레스는 “CVE-2019-14970이라는 버퍼 오버플로우 취약점이 가장 위험해 보인다”고 짚었다. “MKV demuxer라는 요소에 있는 것으로, .mkv 파일 포맷에 영향을 주는 아웃 오브 바운드 라이트(out-of-bounds write) 성격을 가지고 있는 취약점입니다. 그 다음으로는 CVE-2019-14438이라는 버그가 있습니다. 굉장히 비슷한 건데, 공격자가 피해자의 PC에 접근할 수 있게 해줍니다.”

공격자는 VLC 실행 컨텍스트에서 코드를 실행할 수 있게 된다고 모랄레스는 설명을 이어갔다. “무슨 뜻이냐면 공격자가 실제 정상 사용자가 할 수 있는 모든 행위를 그대로 할 수 있다는 뜻입니다. 사용자의 동의가 필요한 것도 아니고, 사용자에게 들킬 위험도 없이 말이죠. 몇몇 공격 시나리오는 공격자가 PC 전체를 통제하는 것도 가능하게 해줍니다. 사용자의 더블클릭만 유발할 수 있다면 사실 게임이 끝납니다.”

그 외 중간급 위험도를 가진 취약점은 다음과 같다.
1) CVE-2019-14437
2) CVE-2019-14776
3) CVE-2019-14777
4) CVE-2019-14778
5) CVE-2019-14533
이 취약점들 역시 위와 동일한 시나리오로 익스플로잇이 가능하다.

15개 중 2개의 취약점은 아직 CVE 번호가 부여되지 않았으며, 보안 업체 펄스 시큐리티(Pulse Security)의 스콧 벨(Scott Bell)이 발견한 것으로 알려졌다. CVE-2019-13602를 발견한 사람은 이현주라는 보안 전문가, CVE-2019-13962를 발견한 사람은 진유 리우(Xinyu Liu)라는 전문가라고 한다.

이 모든 취약점들을 VLC 개발사인 비디오랜(VideoLAN)이 직접 확인을 마쳤다. 지난 달에는 한 독일 전문가가 VLC에서 치명적으로 위험한 취약점을 찾아냈다고 발표했었는데, VLC가 직접 확인해본 결과 잘못된 보고였다는 게 밝혀졌었다. 이 때문에 VLC는 오류 보고를 보다 철저하게 확인하기 시작했다고 한다.

위 15개의 취약점들이 발견된 버전은 3.0.7.1이다. 이 모두가 패치된 취약점은 3.0.8이다. 자동으로 배포되고 있지 않은데, 미리 패치를 하고 싶은 사용자들이라면 수동으로 최신 버전을 다운로드 받아 설치할 수 있다.

3줄 요약
1. VLC 미디어 플레이어에서 15개의 취약점이 발견되고 패치됨.
2. 고위험군에 속하는 취약점이 두 개, 중간급이 5개. 나머지는 저위험군 혹은 분류 불가능.
3. 대부분 악성 영상 파일을 더블클릭하게 하면 익스플로잇 가능. PC 장악까지 이어질 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)