권한 상승시키고 임의의 명령 실행시켜주는 치명적인 취약점 포함
픽셀과 넥서스 장비의 펌웨어 업그레이드 통해 기능도 향상시켜

[보안뉴스 문가용 기자] 구글이 안드로이드의 2018년 9월 패치를 발표했다. 약 60가지의 취약점들이 이번 패치를 통해 해결됐다. 이번 달 패치는 크게 두 부분으로 나눠지는데, 하나는 2018-09-01 패치로, 24가지 버그를 다루며, 다른 하나는 2018-09-05로 총 35개의 버그를 고친다.


2018-09-01 패치의 경우 24가지 취약점 중 5개는 치명적인 등급을 가진 것이었다. 이중 세 개는 권한을 상승시켜 안드로이드의 시스템(System)에 영향을 주는 것이고, 나머지 두 개는 미디어(Media) 프레임워크에서 발견된 원격 코드 실행 취약점이다.

구글은 패치 노트를 통해 “미디어 프레임워크를 통해 원격의 공격자가 특수하게 조작된 파일을 사용함으로써 임의의 코드를 실행시킬 수 있게 해주는 취약점이 이번 달에 고친 취약점 중 가장 심각한 것이었다”고 설명했다.

그 다음은 치명적인 위험도보다 하나 낮은, 고위험군에 속하는 취약점이다. 안드로이드 런타임과 프레임워크, 라이브러리, 미디어 프레임워크, 시스템에서 각각 발견됐다. 중급 위험도를 가진 취약점은 두 가지 있었는데, 미디어 프레임워크와 시스템에서 발견됐다고 한다.

이번 패치에서 다뤄진 취약점 대부분은 안드로이드 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0 버전에서 발견된 것들이다. 일부는 안드로이드 8.0을 포함해 그 이상 버전에서도 발견되긴 했다. 즉 이 버전에 해당하는 사용자들은 최신 패치를 적용하는 게 안전하다는 것이다.

한편 2018-09-05 패치를 통해 해결된 35가지 오류들의 경우 치명적인 위험도를 가진 것이 6개, 고위험군에 속한 것이 27개, 중간급 위험을 가진 것이 2개였다. 프레임워크과 커널 요소들, 퀄콤 요소들과 퀄콤 지적재산 요소들에서 고르게 발견됐다.

지난 달 구글은 안드로이드 기반 기기 생산자들이 할 수 있는 최고의 보안 실천 사항은 매달 발행되는 패치를 적용하는 것이라고 발표했다. 또한 구글은 벤더들의 업데이트 실천을 돕기 위해 업데이트 실험 시스템을 개발 완료했다고 발표하기도 했다.

또한 구글은 2018년 9월 픽셀 및 넥서스 보안 불레틴을 발표하기도 했다. 커널과 퀄콤 요소들에서 발견된 총 15가지 취약점들을 해결하기 위한 것이었다. 전부 중간급 위험도를 가진 것으로 나타났다.

이 업데이트에는 픽셀과 넥서스라는 구글 기기들의 기능적인 향상을 위한 것도 포함되어 있다고 한다. 특히 픽셀 2와 픽셀 2 XL의 리테일 모드(Retail Mode)에서의 배터리 충전 속도가 크게 향상시켰다고 구글은 설명했다. 또한 픽셀, 픽셀 XL, 픽셀 2, 픽셀 2 XL의 소프트웨어 버전 보고서 기능의 수준과 자동차 스피커와 연결 시 음질을 높였다고 구글은 덧붙였다.

보다 자세한 업데이트 내용은 구글 불레틴(https://source.android.com/security/bulletin/2018-09-01)을 통해 열람이 가능하다.
3줄 요약
1. 구글, 2018년 9월에 정기 패치 두 번 발표. 그래서 총 59개의 취약점 해결.
2. 특히 안드로이드 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0 버전 사용자라면 패치가 필수.
3. 픽셀과 넥서스에 대한 패치도 함께 발표. 보안 문제 및 기능 문제 모두 해결하는 패치.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>