check 3d gpu
바로가기
왼쪽 메뉴로 이동
본문으로 이동

안드로이드 취약점, 이미지 보는 것만으로도 해킹 가능해

2019년 02월 12일(화)
공유하기

구글+구글+ 카카오톡카카오톡 카스카스 라인라인 밴드밴드 URL복사URL복사

URL 복사

아래의 URL을 길게 누르면 복사하실수 있습니다.

andr-1.jpg
구글은 2월 보안 업데이트에서 이미지를 보는 것만으로도 안드로이드 스마트폰이 해킹당할 수 있는 세가지 취약점에 대해 패치를 발표했다.

CVE-2019-1986, CVE-2019-1987, CVE-2019-1988이 할당된 문제들을 악용해 원격 공격자는 특수하고 조작된 PNG 파일을 사용하여 프로세스 문맥으로 임의의 코드를 실행할 수 있다.

구글에 따르면 아직 이 취약점이 악용된 상황은 보고되지 않았다고 밝혔다.

트립와이어(Tripwire)의 VERT(Vulnerability and Exposure Research Team) 컴퓨터 보안 연구원인 크레이그 영(Craig Young)은 “최신 안드로이드 운영체제가 여전히 권한이 있는 문맥으로 미디어 파일을 파싱한다는 것은 놀라운 일이다. 스테이지프라이트(Stagefright)이후 libStagefright 및 기타 미디어 서버 구성 요소를 보호하기 위한 많은 작업이 수행되었지만, Skia 그래픽 라이브러리는 이러한 작업이 진행되지 않은 것으로 보인다”라고 설명했다.

그는 “가장 위험한 활동중 하나인 자동 미디어 파싱 요청하면서 최소한으로 유지되어야 하며 그것은 항상 고립된 실행 환경 내에서 이루어져야 한다. GStreamer, ImagicMagick, GhostScript와 같은 중요한 패키지의 치명적인 결함은 사용자와 웹사이트를 위험에 빠뜨린다”라고 덧붙였다.

트립와이어의 제품 관리 및 전략 담당 부사장인 팀 얼린(Tim Erlin)은 “이런 유형의 취약점은 안드로이드 폰에서 서로 다른 업데이트가 발생하는 원인이다”라며 “구글 기기 사용자는 적절한 패치를 바로 제공받을 수 있지만,다른 제조업체의 사용자들은 몇 달을 기다리게 될 수도 있다”라고 설명했다.

★정보보안 대표 미디어 데일리시큐!★


페소아 기자 mkgil@dailysecu.com

전체선택후 복사하여 주세요. 닫기