마이크로소프트가 CVE-2022-2587(CVSS 점수 9.8)로 추적되는 중요한 크롬OS 취약점 세부 정보를 공개했다. 이 결함은 DoS 조건을 트리거하거나 특정 상황에서 원격 코드 실행을 달성하기 위해 악용될 수 있는 OS Audio 서버의 ‘아웃 오브 바운스’ 쓰기 이슈다.

시큐리티어페어스 보도에 따르면, 마이크로소프트는 권고문을 통해 “원격으로 트리거 가능한 크롬OS 구성 요소의 메모리 손상 취약점을 발견했다. 이를 통해 공격자는 서비스 거부 또는 원격 코드 실행이 가능하다.”고 말한다고 전했다. 

마이크로소프트는 2022년 4월, 구글에 이 문제를 크로미움 버그 추적 시스템의 일부로 보고했다. 구글은 6월에 해당 취약점을 패치했고, 공격자는 노래와 관련된 기형 메타데이터를 사용해 결함을 유발할 수 있다. 

회사는 사용자가 제공한 ‘identity’ 인자를 확인하지 않아 힙 기반 버퍼오버플로우가 발생한다는 사실을 발견했다. OS Audio 서버에는 노래 제목을 나타내는 메타데이터에서 ‘identity’를 추출하는 메소드가 포함되어 있다. 공격자는 새 노래가 재생될 때 브라우저나 블루투스를 통해 오디오 메타데이터를 수정해 결함을 유발할 수 있다.

권고문은 “오디오 메타데이터를 조작해 취약점이 원격으로 트리거될 수 있음을 발견했다. 공격자는 브라우저나 페어링된 블루투스 장치에서 단순히 새 노래를 재생하거나 AiTM(adversary-in-the-middle) 기능을 활용해 원격으로 취약점을 악용하는 등 사용자가 이러한 조건을 충족할 수 있도록 유인할 수 있다. 힙 기반 오버플로우의 영향은 단순한 DoS부터 RCE까지 다양하다. 미디어 메타데이터 조작을 통해 청크를 할당하고 해제하는 것이 가능하지만, 이 경우 정확한 힙 그루밍을 수행하는 것이 쉽지 않고 공격자는 성공적인 임의 코드 실행을 위해 익스플로잇을 다른 취약점과 연결해야 한다.”고 설명한다.

★정보보안 대표 미디어 데일리시큐!★