상세 컨텐츠
본문
Android Security Bulletin—November 2017 – Google addresses critical flaws and high-risk KRACK vulnerabilities in Android
구글이 안드로이드의 치명적인 취약점들과 위험도 높은 KRACK 취약점을 수정했습니다.
‘안드로이드 보안 공지 2017년 11월’을 통해 31개의 취약점을 수정했으며, 그 중 9개는 치명적인 원격 코드 실행 결점입니다.
안드로이드 보안 공지는 3 가지 보안 패치 레벨을 포함합니다.
- 2017-11-01 및 2017-11-05 패치 레벨은 위험도가 ‘치명적인’, ‘높은’ 문제들을 수정합니다.
- 2017-11-06 패치 레벨은 심각도가 높은 KRACK 취약점만을 패치합니다.
안드로이드 보안 공지 – 2017년 11월에서는 “안드로이드의 파트너들은 2017-11-01 및 2017-11-05 패치 레벨들에 대해 발표하기 최소 한달 전 통보를 받았습니다. 안드로이드 파트너들은 지난달에 2017-11-06 패치 레벨에 대한 모든 문제들을 통보 받았습니다. 이 문제들에 대한 소스 코드 패치들은 Android Open Source Project (AOSP)저장소에 48시간 내에 공개 될 것입니다. AOSP 링크가 공개 되면 이 공지를 수정할 것입니다.”고 밝혔습니다.
가장 많은 취약점들은 Media 프레임워크에 영향을 미치며, 해당 보안 패치는 7가지 문제를 해결했습니다.
CVE |
REFERENCES |
TYPE |
SEVERITY |
UPDATED AOSP VERSIONS |
CVE-2017-0832 |
A-62887820 |
RCE |
Critical |
6.0,6.0.1,7.0,7.1.1,7.1.2,8.0 |
CVE-2017-0833 |
A-62896384 |
RCE |
Critical |
6.0,6.0.1,7.0,7.1.1,7.1.2,8.0 |
CVE-2017-0834 |
A-63125953 |
RCE |
Critical |
6.0,6.0.1,7.0,7.1.1,7.1.2,8.0 |
CVE-2017-0835 |
A-63316832 |
RCE |
Critical |
6.0,6.0.1,7.0,7.1.1,7.1.2,8.0 |
CVE-2017-0836 |
A-64893226 |
RCE |
Critical |
5.0.2,5.1.1,6.0,6.0.1,7.0,7.1.1,7.1.2,8.0 |
CVE-2017-0839 |
A-64478003 |
ID |
HIGH |
5.0.2,5.1.1,6.0,6.0.1,7.0,7.1.1,7.1.2,8.0 |
CVE-2017-0840 |
A-62948670 |
ID |
HIGH |
5.0.2,5.1.1,6.0,6.0.1,7.0,7.1.1,7.1.2,8.0 |
2017-11-05 보안 패치 레벨은 11개의 취약점을 수정했으며, 이 중 3개는 치명적인 RCE 취약점, 7개는 위험도 높은 권한 상승 버그, 1개는 심각도가 높은 정보 누출 버그입니다.
Qualcomm 컴포넌트들이 가장 많은 영향을 받아 7개의 문제를 수정하였으며, 이들 중 하나는 원격 공격자들이 악용할 경우 권한이 있는 프로세스에서 임의의 코드를 실행할 수 있습니다.
CVE |
REFERENCES |
TYPE |
SEVERITY |
COMPONENT |
CVE-2017-11013 |
A-64453535 | RCE |
Critical |
WLAN |
CVE-2017-11015 |
A-64438728 |
RCE |
Critical |
WLAN |
CVE-2017-11014 |
A-64438727 |
RCE |
Critical |
WLAN |
CVE-2017-11092 |
A-62949902 QC-CR#2077454 |
EoP |
High |
GPU driver |
CVE-2017-9690 |
A-36575870 QC-CR#2045285 |
EoP |
High |
QBT1000 driver |
CVE-2017-11017 |
A-64453575 QC-CR#2055629 |
EoP |
High |
Linux boot |
CVE-2017-11028 |
A-64453533 QC-CR#2008683 |
ID |
High |
Camera |
2017-11-06 보안 패치 레벨은 KRACK 공격과 관련 된 9개의 취약점을 수정합니다.
2017년 10월 부터, 구글은 Nexus와 Pixel 기기들에 대한 별도의 보안 공지를 공개하기 시작했습니다.
‘Pixel/Nexus 보안 공지 – 2017년 11월’에서는 프레임워크, Media 프레임워크, Runtime, System, 커널, MediaTek, NVIDIA, Qualcomm 컴포넌트 등에 영향을 미치는 50개 이상의 버그를 패치합니다.
출처 :
http://securityaffairs.co/wordpress/65287/mobile-2/krack-android-security-bulletin.html
댓글 영역