정보 엔터테인먼트 시스템 ‘SYNC3’에서 원격 코드 실행 가능한 버퍼 오버플로우 취약점 발견

요약 : IT 보안 외신 블리핑컴퓨터에 따르면 포드(Ford)와 링컨(Lincoln) 차량에 사용되는 ‘SYNC3’ 정보 엔터테인먼트 시스템에서 원격 코드 실행이 가능한 버퍼 오버플로우 취약점이 발견됐다고 한다. 하지만 차량 운전 시 안전에는 전혀 영향을 미치지 않는다고 덧붙였다. 해당 시스템이 적용된 차량 모델로는 포드 △에코스포츠 △이스케이프 △브롱코 스포츠 △익스플로러 △매버릭 △익스페디션 △레인저 △트랜짓 커넥트 △슈퍼 듀티 △트랜싯 △머스탱 △트랜짓 CC-CA이다. 포드는 공급업체로부터 해당 취약점 정보를 받은 즉시 조치를 취했으며, 곧 소프트웨어 패치 제공과 사용자들이 자신의 차량에 설치할 수 있다고 공지했다.


배경 : SYNC3는 차량 내 △WiFi 핫스팟 △스마트폰 연결 △음성 명령 △타사 애플리케이션 등을 지원하는 현대적인 정보 엔터테인먼트 시스템이다. 이 취약점은 CVE-2023-29468로 추적되며, 차량 정보 엔터테인먼트 시스템에 통합된 WiFi 하위 시스템인 WL18xx MCP 드라이버에 존재하는 것으로 알려졌다.

말말말 : “현재까지 해당 취약점이 악용된 사례는 없습니다. 만약 악용한다손 치더라도 상당한 전문지식이 필요하며 차량 와이파이가 켜진 상태에서 물리적 위치까지 근접해야만 가능합니다. 또한, 패치 이전 취약점이 우려된다면 SYNC 3 정보 엔터테인먼트 시스템 설정 메뉴를 통해 와이파이 기능을 간단히 끌 수 있습니다.” -포드-
[이소미 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>