안드로이드 취약점, 이미지 보는 것만으로도 해킹 가능해
CVE-2019-1986, CVE-2019-1987, CVE-2019-1988이 할당된 문제들을 악용해 원격 공격자는 특수하고 조작된 PNG 파일을 사용하여 프로세스 문맥으로 임의의 코드를 실행할 수 있다.
구글에 따르면 아직 이 취약점이 악용된 상황은 보고되지 않았다고 밝혔다.
트립와이어(Tripwire)의 VERT(Vulnerability and Exposure Research Team) 컴퓨터 보안 연구원인 크레이그 영(Craig Young)은 “최신 안드로이드 운영체제가 여전히 권한이 있는 문맥으로 미디어 파일을 파싱한다는 것은 놀라운 일이다. 스테이지프라이트(Stagefright)이후 libStagefright 및 기타 미디어 서버 구성 요소를 보호하기 위한 많은 작업이 수행되었지만, Skia 그래픽 라이브러리는 이러한 작업이 진행되지 않은 것으로 보인다”라고 설명했다.
그는 “가장 위험한 활동중 하나인 자동 미디어 파싱 요청하면서 최소한으로 유지되어야 하며 그것은 항상 고립된 실행 환경 내에서 이루어져야 한다. GStreamer, ImagicMagick, GhostScript와 같은 중요한 패키지의 치명적인 결함은 사용자와 웹사이트를 위험에 빠뜨린다”라고 덧붙였다.
트립와이어의 제품 관리 및 전략 담당 부사장인 팀 얼린(Tim Erlin)은 “이런 유형의 취약점은 안드로이드 폰에서 서로 다른 업데이트가 발생하는 원인이다”라며 “구글 기기 사용자는 적절한 패치를 바로 제공받을 수 있지만,다른 제조업체의 사용자들은 몇 달을 기다리게 될 수도 있다”라고 설명했다.
★정보보안 대표 미디어 데일리시큐!★