구글, 안드로이드의 치명적인 원격 코드 실행 취약점 수정

 

 

Google fixed a critical Remote Code Execution flaw in Android

 

구글이 안드로이드 시스템 컴포넌트에 존재하는 치명적인 원격 코드 실행 취약점인 CVE-2021-0316을 포함한 취약점 43개를 수정하는 보안 업데이트를 공개했습니다.

 

구글은 보안 패치 레벨 2021-01-05 및 그 이후를 공개하며 해당 취약점을 수정했습니다.

 

구글은 1월 안드로이드 보안 공지를 통해 아래와 같이 밝혔습니다.

 

“이 이슈 중 가장 심각한 것은 System 컴포넌트의 치명적인 보안 취약점으로, 원격 공격자가 특수 제작한 전송을 사용하여 권한이 있는 프로세스의 컨텍스트 내에서 임의 코드를 실행하도록 허용할 수 있습니다.”

 

해당 공지에서는 치명적인 DoS 취약점인 CVE-2021-0313 또한 수정되었다고 밝혔습니다. 원격 공격자가 이 취약점을 악용할 경우 특수 제작한 전송을 사용하여 권한이 있는 프로세스의 컨텍스트 내에서 임의 코드를 실행하도록 허용할 수 있습니다.

 

위 취약점은 안드로이드 버전 8.0, 8.1, 9, 10, 11에 영향을 미칩니다. 이 취약점을 수정하는 소스코드 패치가 안드로이드 오픈소스 프로젝트(AOSP) 저장소에 공개되었습니다.

 

구글은 CVE-2020-11134, CVE-2020-11182로 등록된 Qualcomm 비공개 소스 컴포넌트 내 또 다른 치명적인 취약점 2개 또한 수정했습니다.

 

또한 아래의 심각도 높은 취약점을 수정했습니다.

 

- 프레임워크: CVE-2021-0303, CVE-2021-0306, CVE-2021-0307,CVE-2021-0310, CVE-2021-0315, CVE-2021-0317, CVE-2021-0318, CVE-2021-0319, CVE-2021-0304, CVE-2021-0309, CVE-2021-0321, CVE-2021-0322, CVE-2019-9376
- 미디어 프레임워크: CVE-2021-0311, CVE-2021-0312, CVE-2021-0308, CVE-2021-0320
- 시스템: CVE-2020-0471
- 커널 컴포넌트: CVE-2020-10732, CVE-2020-10766, CVE-2021-0323
- MediaTek 컴포넌트: CVE-2021-0301
- Qualcomm 컴포넌트: CVE-2020-11233, CVE-2020-11239, CVE-2020-11220, CVE-2020-11250, CVE-2020-11261, CVE-2020-11262
- Qualcomm 비공개 소스 컴포넌트: CVE-2020-11126, CVE-2020-11126, CVE-2020-11159, CVE-2020-11181, CVE-2020-11235, CVE-2020-11238, CVE-2020-11241, CVE-2020-11260

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/113095/security/google-android-rce.html

https://source.android.com/security/bulletin/2021-01-01