중요 안드로이드 칩셋의 오디오 요소에서 나온 취약점 3개...익스플로잇 쉬워

요약 : 보안 외신 해커뉴스에 따르면 퀄컴과 미디어텍 칩셋 내 오디오 디코더 요소에서 세 가지 위험한 취약점이 발견됐다고 한다. 이 취약점들을 익스플로잇 하는 데 성공할 경우 공격자는 원격에서 감염된 장비 내 미디어와 오디오 기록들에 접근할 수 있게 된다고 한다. 문제의 오디오 코덱은 ALAC 혹은 애플 루즈리스(Apple Loseless)로, 애플이 개발하여 2011년 오픈소스로 전환했다. 그리고 지금까지 단 한 번의 업데이트도 없었다.


배경 : 취약점은 CVE-2021-0674, CVE-2021-0675, CVE-2021-30351이다. 차례로 5.5점, 7.8점, 9.8점이 기록됐다. 첫 번째는 사용자 입력값 미확인 취약점, 두 번째는 로컬 권한 상승 취약점, 세 번째는 아웃오브바운드 메모리 접근 취약점이다.

말말말 : “취약점들의 익스플로잇 난이도는 낮은 편입니다. 오디오 요소들의 취약점이기 때문에 노래 파일을 통해 악성 코드를 실행시킬 수도 있게 됩니다. 그리고 공격자들은 피해자가 모바일 장비로 보는 것들을 똑같이 열람할 수 있게 됩니다.” -체크포인트(CheckPoint)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>