VLC 앱에 포함된 라이브러리에서 취약점 다수 발견돼

입력 : 2020-03-26 11:51

VLC 유지 보수 책임지는 회사가 개발한 라이브러리, libmicrodns
하나는 9.8점 받은 ‘치명적으로 위험한’ 취약점...나머지는 7.5점의 디도스 취약점

[보안뉴스 문가용 기자] 비디오랩스(Videolabs)가 최근 자사 libmicrodns 라이브러리에서 발견된 취약점들을 패치했다. 시스코 탈로스(Cisco Talos) 팀이 분석한 바에 의하면, 이 취약점을 성공적으로 익스플로잇 할 경우 임의 코드 실행 공격과 디도스 공격이 가능하다고 한다.


비디오랩스는 비디오랜(VideoLAN)이라는 소프트웨어 개발 업체의 직원들이 창립한 회사로, 현재 한국에서도 많이 사용되고 있는 VLC 미디어 플레이어 앱의 모바일 버전을 유지 및 보수하고 있다. 취약점이 발견된 libmicrodns는 마이크로 DNS 리졸버 기능을 담당하는 크로스 플랫폼 라이브러리로, 마이크로 DNS 서비스를 탐색해 찾아내는 데에 사용되고 있다.

패치된 취약점들 중 가장 심각한 건 CVE-2020-6072로 CVSS 기준 9.8점을 받았다. 라이브러리 내에 있는 레이블의 구문 분석 기능에서 발견된 취약점으로, 원격에서 코드 실행을 가능하게 해준다고 탈로스 팀이 블로그를 통해 밝혔다(https://blog.talosintelligence.com/2020/03/vuln-spotlight-videolabs-microdns.html).

“마이크로 DNS 메시지들 내에 있는 압축 레이블들을 분석할 때, ‘rr_decode’라는 함수의 반환값이 제대로 확인되지 않습니다. 이 때문에 더블 프리(double free) 취약점이 발동되며, 이를 익스플로잇 할 경우 임의 코드 실행 공격이 가능해집니다. 공격자 입장에서는 특수하게 조작된 마이크로 DNS 메시지를 전송함으로써 익스플로잇을 할 수 있게 됩니다.”

나머지 취약점들은 CVSS 기준 7.5점을 받았다. libmicrodns 라이브러리 내 다른 요소들에서 발견되고 있다. 그 중 하나는 CVE-2020-6071로 라이브러리 내 자원 기록 분석 기능에서 나타나며, 성공적으로 익스플로잇 될 경우 디도스 공격을 가능케 한다.

또 다른 주요 취약점으로는 CVE-2020-6073이 있다. TXT 기록 점검 기능에서 발견된 것으로, 정수 오버플로우 현상을 야기한다. 마이크로 DNS 메시지 내 TXT 기록의 RDATA 부분을 분석할 때 발동된다. 발동 후에는 디도스 공격을 일으킨다고 한다.

디도스를 유발하는 취약점으로는 CVE-2020-6078도 있다. mdns_recv라는 함수가 마이크로 DNS 메시지를 점검할 때 발동된다. mdns_read_header 함수의 반환값이 제대로 확인되지 않기 때문이다. 그 외에 CVE-2020-6079와 CVE-2020-6080 역시 디도스를 일으킬 수 있는 취약점인 것으로 분석됐다.

공격자들은 특수하게 조작한 마이크로 DNS 메시지를 연속적으로 전송함으로써 취약점들을 발동시킬 수 있다. 이러한 오류 소식을 접한 libmicrodns 라이브러리의 개발사 비디오랩스는 패치 배포 노트를 통해 “로컬 디도스 공격을 가능하게 하는 취약점”이라고 주장했다.

탈로스가 위 취약점들을 찾아낸 건 libmicrodns 라이브러리 0.1.0 버전이며, 패치된 버전은 0.1.1 버전이다.
3줄 요약
1. 한국에서도 많이 사용되는 미디어 앱 VLC의 개발사, 주요 라이브러리 패치함.
2. 문제의 라이브러리는 libmicrodns 0.1.0 버전으로, 0.1.1 버전이 패치된 버전.
3. 여러 취약점 중 하나는 9.8점을 받았을 정도로 심각하나 나머지는 7점 대 수준.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  2024년 3월 랜섬웨어 공격 사례 집계해보...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 4

  카카오는 AI Safety 위해 어떻게 하고...

• 5

  북한이 최근 사용하는 공격 전략, 조만간 마...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 5

  리멤버, 회사 사칭 ‘계정에 대한 탈퇴 요청...

• 1

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 2

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 3

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 4

  NSA의 제로트러스트 가이드라인, CISO는...

• 5

  지니언스, ‘제로 트러스트 전략 2.0’ 발...