구글, 안드로이드 위한 11월 정기 패치 통해 취약점 40여개 해결
  |  입력 : 2019-11-07 13:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
11월 1일 패치로는 17개, 11월 5일 패치로는 21개 취약점 다뤄
치명적 취약점과 고위험군 취약점 다수 포함되어 있어...픽셀폰 패치도


[보안뉴스 문가용 기자] 구글이 안드로이드를 위한 2019년 11월 정기 보안 패치를 발표하며 약 40개의 취약점들을 해결했다. 이 중에는 시스템(System) 요소에서 발견된 치명적 오류도 포함되어 있다고 한다.

[이미지 = iclickart]


먼저 첫 번째로 발표된 2019-11-01 보안 불레틴(2019-11-01 Security Bulletin)을 통해서는 총 17개의 취약점이 다뤄졌다. 안드로이드의 프레임워크(Framework), 라이브러리(LIbrary), 미디어(Media), 시스템(System) 요소에서 발견된 것들이었다.

이중 가장 위험한 건 시스템 내에서 발견된 취약점으로 치명적 위험도를 가진 것으로 나타났다. 공격자가 특수하게 조작한 파일을 사용해 원격에서 임의의 코드를 실행할 수 있도록 해주는 것이라고 구글은 설명했다. 코드 실행 컨텍스트가 심지어 높은 권한이기도 하다.

이렇게 시스템에서 발견된 치명적 취약점은 총 세 개다. 전부 원격 코드 실행을 가능케 해주는 것으로, 취약점 번호와 안드로이드 버전은 다음과 같다.
1) CVE-2019-2204 : 안드로이드 9
2) CVE-2019-2205 : 안드로이드 8.0, 8.1, 9, 10
3) CVE-2019-2206 : 안드로이드 8.0, 8.1, 9, 10

그 외에도 시스템 요소 내에서 패치된 취약점은 다섯 개가 더 있다. 모두 고위험군으로 분류됐다. 두 개는 권한 상승 공격을, 나머지 세 개는 정보 노출 공격을 가능하게 해준다고 한다.

한편 프레임워크에서는 총 여섯 개의 고위험군 취약점이 해결됐다. 네 개는 권한 상승을, 두 개는 정보 노출을 유발한다. 라이브러리에서도 고위험군 원격 코드 실행 취약점이 한 개, 미디어에서도 고위험군 권한 상승 취약점이 두 개 발견 및 해결됐다.

두 번째 보안 패치가 이어졌다. 2019-11-05 보안 패치로, 총 21개의 취약점들을 다뤘다. 주요한 취약점은 다음과 같다.
1) 프레임워크 : 고위험군 정보 노출 취약점 2개
2) 시스템 : 고위험군 권한 상승 취약점 1개
3) 커널(Kernel) : 고위험군 권한 상승 취약점 3개, 중간급 정보 노출 취약점 1개
4) 퀄컴(Qualcomm) : 고위험군 취약점 3개
5) 퀄컴 클로스드 소스 : 치명적 취약점 5개, 고위험군 취약점 6개

구글의 픽셀 장비에서도 픽스가 이뤄졌다. 총 20가지 취약점이 해결됐는데, 프레임워크, LG 요소, 커널, 퀄컴, 퀄컴 클로스드 소스, 부트로더, 브로드컴, 펌웨어, 블루투스, 오디오, WLAN 호스트, 부트, 서비스, 커널, 디스플레이 등에서 권한 상승, 원격 코드 실행, 정보 노출 취약점이 고루 나타났다고 한다.

구글은 보안 외에 기능적인 측면에서의 패치도 함께 발표했다. 픽셀 2~4XL까지 이번 패치에 영향을 받는다. 특히 안정성과 음질, 그래픽, 카메라, 음성 어시스턴트 기능의 향상이 이뤄졌다고 구글은 발표했다.

3줄 요약
1. 구글, 이번 달 안드로이드 보안 패치 발표.
2. 1번 패치로 총 17개 취약점, 2번 패치로 총 21개 취약점 해결함.
3. 픽셀 장비에 대한 보안, 기능 패치도 있었음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)