Home > 전체기사

엔비디아, 지포스 나우에서 발견된 고위험군 취약점 패치

  |  입력 : 2020-11-12 11:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
지포스 나우, 엔비디아의 클라우드 기반 게이밍 서비스...권한 상승 취약점 나와
문제의 근원은 오픈SSL이라는 오픈소스 라이브러리...악성 바이너리 심기 가능하게 해


[보안뉴스 문가용 기자] 그래픽카드 제조사인 엔비디아가 윈도 체제를 기반으로 한 게임 사용자들이 위험하다는 경고를 내놨다. 지포스 나우(GeForce NOW)라는 애플리케이션에서 고위험군에 속하는 오류가 발견됐기 때문이다. 이 취약점을 익스플로잇 할 경우 권한을 상승시키거나 임의로 코드를 실행할 수 있게 된다.

[이미지 = utoimage]


문제의 근원이 된 지포스 나우는 엔비디아가 제공하는 클라우드 기반 게이밍 서비스로 데스크톱, 랩톱, 맥, 안드로이드 장비에서 실시간으로 게임을 즐길 수 있도록 해준다. 약 400만 명의 사용자가 지포스 나우에 가입되어 있는 것으로 알려져 있으며, 지속적인 성장세를 보여주고 있기도 하다.

엔비디아는 지난 화요일 보안 권고문을 통해 지포스 나우에서 발견된 고위험군 취약점 CVE-2020-5992에 대해 공개했다. CVSS 점수는 7.3점이었다. 지포스 나우의 오픈SSL(OpenSSL) 라이브러리와 관련도니 문제라고 하는데, 이 오픈SSL은 컴퓨터 네트워크를 통한 통신을 안전하게 만드는 데 사용되는 오픈소스 라이브러리다.

엔비디아에 의하면 이 오픈SSL 라이브러리는 바이너리를 심는 유형의 공격에 취약하다고 한다. 바이너리를 심는 유형의 공격(binary planting)이란, 공격자들이 악성 코드가 포함된 바이너리 파일을 피해자의 파일 시스템 내부에 심는 것을 말한다. 2.0.25.119 이전 버전 모두가 이 취약점에 노출되어 있으며, 사용자들에게는 업그레이드가 권고되고 있다.

“시스템을 보호하려면 모든 고객들은 지포스 나우 애플리케이션을 열고 자동 업데이트가 다운로드 되도록 하십시오. 그런 후 안내에 따라 업데이트를 적용하시는 것을 권장합니다.” 엔비디아의 설명이다.

게이머들의 사용자 경험을 위한 제품을 만들어 온 엔비디아는 최근 다양한 보안 문제들을 발표해왔다. 얼마 전에는 윈도용 지포스 엑스페리언스(GeForce Experience) 소프트웨어에서도 두 개의 취약점이 발견된 바 있다. 그 중 CVE-2020-5977이 특히 심각한 것으로, 코드 실행, 서비스 마비, 권한 상승 등 여러 가지 악성 행위를 가능하게 해주는 것으로 분석됐다.

그 전인 10월 엔비디아는 고성능 DGX 서버들에서 치명적인 취약점이 발견됐다며 패치를 발표하기도 했었다. 이를 통해 공격자들은 정부 기관이나 포춘 100대 기업에서 생성되는 민감한 데이터에 접근할 수 있었다고 한다.

엔비디아 외에 다른 칩 생산 업체들에서도 여러 가지 보안 문제들이 최근 불거지고 있다. 인텔(Intel)의 경우, 여러 제품에서 오류들을 발견해 업데이트 했다. 이 중에는 블루투스나 와이파이와 관련된 치명적인 취약점들도 포함되어 있었다. 이번 주에는 플래티퍼스(PLATYPUS)라고 불리는 부채널 공격 기법이 공개되기도 했었다.

3줄 요약
1. 지포스의 클라우드 게이밍 서비스인 지포스 나우에서 고위험군 취약점 발견됨.
2. 이 취약점을 통해 권한 상승 및 임의 코드 실행이 가능하게 됨.
3. 사용자들은 2.0.25.119 버전으로 업그레이드를 해야 안전.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협