두 번의 업데이트 통해 총 27개 취약점 해결...치명적 결함은 2개
나머지도 대부분 고위험군...권한 상승, 코드 유발, 정보 유출 등

[보안뉴스 문가용 기자] 구글이 2019년 들어 첫 패치를 발표했다. 안드로이드 OS를 위한 것으로, 20개가 넘는 취약점들이 해결됐다. 그 중 가장 중요한 건 시스템(System) 내에서 발견된 CVE-2018-9583으로 가장 위험한 ‘치명적’ 등급을 받은 원격 코드 실행 취약점이다. 2019-01-01 패치에 포함된 내용이다.


2019-01-01 패치를 통해 구글은 총 13개의 픽스를 배포했다. 취약점 수는 많은데, 영향을 받은 요소는 프레임워크(Framework)와 시스템(System) 딱 두 개다. 프레임워크에서 발견된 취약점은 CVE-2018-9582로, 권한을 상승시켜준다. 고위험군에 속하며, 안드로이드 8.0, 8.1, 9 버전에서 발견된다고 한다.

나머지 12개 취약점들은 전부 시스템에서 발견됐다. 1개는 치명적인 위험도를 가진 원격 코드 실행 취약점이며, 4개는 고위험군에 속한 권한 상승 버그다. 나머지 7개 역시 고위험군에 포함되는데, 정보 노출 취약점이다. 이 취약점들에 영향을 받고 있는 안드로이드 버전은 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9이다.

이것 외에도 구글은 2019-01-05 보안 패치도 발표했다. 이를 통해 총 14개의 취약점들을 손봤다. 커널(Kernel), 엔비디아(NVIDIA), 퀄컴(Qualcomm), 퀄컴 클로스드소스(Qualcomm closed-source) 요소들 내에 고루 존재한다.

14개의 취약점 대부분 ‘고위험군’이라는 판정을 받았다. CVE-2018-11847이 유일한 예외인데, 이 취약점은 ‘치명적’으로 위험하다고 한다. 퀄컴 클로스드소스 요소에서 발견된 것으로 패치를 적용하면 해결된다고 한다. 14개 취약점 대부분 권한 상승과 관련된 문제들이었다.

구글은 이 14개 취약점들 중 가장 심각한 건 “로컬 악성 애플리케이션을 통해 권한이 높은 프로세스의 맥락으로 임의의 코드를 실행하게 해주는 취약점”이라고 설명했다.

그 외에도 구글은 픽셀과 넥서스 기기들에 대한 보안 업데이트도 발표했다. 중간급 위험도를 가진 취약점 2개가 커널에서 발견되었기 때문이다. 각각 CVE-2018-13098과 CVE-2018-13099로, 둘 다 정보를 노출시키는 문제를 가지고 있다.

3줄 요약
1. 구글의 2019-01-01 패치 : 13개 취약점 해결. 치명적인 취약점 1개.
2. 구글의 2019-01-05 패치 : 14개 취약점 해결. 치명적인 취약점 1개.
3. 그 외 픽셀과 넥서스 장비에 대한 보안 패치도 따로 발표함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>