CVE-2017-8867, CVE-2017-2886, CVE-2017-17553
CVE-2017-17554, CVE-2017-17555

[보안뉴스 문가용 기자] 현지 시각으로 12월 11일, 우리나라 시간으로는 대략 11일에서 12일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.

1. CVE-2017-8867
Elemental Path의 CogniToys Dino 스마트 토이의 펌웨어 버전 0.0.794의 취약점으로 악성 사용자가 암호화된 트래픽을 특정 AES 키에 매핑해 접근 권한을 높이고 도청할 수 있게 해준다.

2. CVE-2017-2886
ACDSee Ultimate 10.0.0.292 버전의 .PSD 파싱 기능의 메모리 커럽션 취약점으로 조작된 .PSD 파일을 통해 공격자가 코드 실행 공격을 실행할 수 있게 된다.

3. CVE-2017-17553
Dolphin Browser for Android 12.0.2 버전의 불완전한 파싱 취약점으로 공격자들이 악성 Intent URI를 통해 공격할 수 있게 해준다.

4. CVE-2017-17554
aubio 0.4.6 버전의 io/source_avcodec.c의 aubio_source_avcodec_readframe의 NULL 포인터 디리퍼런스 취약점으로 조작된 오디오 파일을 통해 DoS 공격을 실시할 수 있게 해준다.

5. CVE-2017-17555
FFmpeg 3.4.1 버전, aubio 0.4.6 버전의 FFmpeg libswresample 3.0.101까지 버전의 swri_audio_convert 함수의 취약점으로 조작된 오디오 파일을 통해 DoS 공격을 실시할 수 있게 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>