VLC 앱에 포함된 라이브러리에서 취약점 다수 발견돼

  |  입력 : 2020-03-26 11:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
VLC 유지 보수 책임지는 회사가 개발한 라이브러리, libmicrodns
하나는 9.8점 받은 ‘치명적으로 위험한’ 취약점...나머지는 7.5점의 디도스 취약점


[보안뉴스 문가용 기자] 비디오랩스(Videolabs)가 최근 자사 libmicrodns 라이브러리에서 발견된 취약점들을 패치했다. 시스코 탈로스(Cisco Talos) 팀이 분석한 바에 의하면, 이 취약점을 성공적으로 익스플로잇 할 경우 임의 코드 실행 공격과 디도스 공격이 가능하다고 한다.

[이미지 = iclickart]


비디오랩스는 비디오랜(VideoLAN)이라는 소프트웨어 개발 업체의 직원들이 창립한 회사로, 현재 한국에서도 많이 사용되고 있는 VLC 미디어 플레이어 앱의 모바일 버전을 유지 및 보수하고 있다. 취약점이 발견된 libmicrodns는 마이크로 DNS 리졸버 기능을 담당하는 크로스 플랫폼 라이브러리로, 마이크로 DNS 서비스를 탐색해 찾아내는 데에 사용되고 있다.

패치된 취약점들 중 가장 심각한 건 CVE-2020-6072로 CVSS 기준 9.8점을 받았다. 라이브러리 내에 있는 레이블의 구문 분석 기능에서 발견된 취약점으로, 원격에서 코드 실행을 가능하게 해준다고 탈로스 팀이 블로그를 통해 밝혔다(https://blog.talosintelligence.com/2020/03/vuln-spotlight-videolabs-microdns.html).

“마이크로 DNS 메시지들 내에 있는 압축 레이블들을 분석할 때, ‘rr_decode’라는 함수의 반환값이 제대로 확인되지 않습니다. 이 때문에 더블 프리(double free) 취약점이 발동되며, 이를 익스플로잇 할 경우 임의 코드 실행 공격이 가능해집니다. 공격자 입장에서는 특수하게 조작된 마이크로 DNS 메시지를 전송함으로써 익스플로잇을 할 수 있게 됩니다.”

나머지 취약점들은 CVSS 기준 7.5점을 받았다. libmicrodns 라이브러리 내 다른 요소들에서 발견되고 있다. 그 중 하나는 CVE-2020-6071로 라이브러리 내 자원 기록 분석 기능에서 나타나며, 성공적으로 익스플로잇 될 경우 디도스 공격을 가능케 한다.

또 다른 주요 취약점으로는 CVE-2020-6073이 있다. TXT 기록 점검 기능에서 발견된 것으로, 정수 오버플로우 현상을 야기한다. 마이크로 DNS 메시지 내 TXT 기록의 RDATA 부분을 분석할 때 발동된다. 발동 후에는 디도스 공격을 일으킨다고 한다.

디도스를 유발하는 취약점으로는 CVE-2020-6078도 있다. mdns_recv라는 함수가 마이크로 DNS 메시지를 점검할 때 발동된다. mdns_read_header 함수의 반환값이 제대로 확인되지 않기 때문이다. 그 외에 CVE-2020-6079와 CVE-2020-6080 역시 디도스를 일으킬 수 있는 취약점인 것으로 분석됐다.

공격자들은 특수하게 조작한 마이크로 DNS 메시지를 연속적으로 전송함으로써 취약점들을 발동시킬 수 있다. 이러한 오류 소식을 접한 libmicrodns 라이브러리의 개발사 비디오랩스는 패치 배포 노트를 통해 “로컬 디도스 공격을 가능하게 하는 취약점”이라고 주장했다.

탈로스가 위 취약점들을 찾아낸 건 libmicrodns 라이브러리 0.1.0 버전이며, 패치된 버전은 0.1.1 버전이다.
3줄 요약
1. 한국에서도 많이 사용되는 미디어 앱 VLC의 개발사, 주요 라이브러리 패치함.
2. 문제의 라이브러리는 libmicrodns 0.1.0 버전으로, 0.1.1 버전이 패치된 버전.
3. 여러 취약점 중 하나는 9.8점을 받았을 정도로 심각하나 나머지는 7점 대 수준.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협