포스팅 내용

국내외 보안동향

Stagefright Bug 2.0 발견 및 패치

Stagefright Bug 2.0 발견 및 패치


10월 1일, 안드로이드 Stagefright 취약점 2개가 새로이 발견되었습니다. 공격자는 사용자를 악성 멀티미디어 파일인 MP3나 MP4를 포함하고 있는 웹사이트를 방문하도록 유도하여 스마트폰을 해킹할 수 있습니다.

( stagefright 취약점 자세히 보기)


새로 발견된 취약점인 CVE-2015-6602, CVE-2015-3876은 둘 다 안드로이드 미디어 플레이백 엔진인 ‘Stagefright’에 존재하며, 안드로이드 OS버전 1부터 최신버전인 5.1.1까지 모두 해당됩니다. 


Stagefright 버그 2.0 취약점을 이용하면 사용자가 악의적으로 제작된 음악이나 미디어 파일을 보기만해도 때문에 공격자가 사용자의 안드로이드 기기에 원격으로 코드를 실행할 수 있습니다.


Stagefright 버그 2.0은 아래와 같은 공격 인자를 통해 악용될 수 있습니다. 


웹페이지

중간자 공격

써드파티 미디어 플레이어

메시징 앱


그리고 10월 5일, 구글이 넥서스 기기에 보안업데이트 10월 버전을 배포하였는데, 그 중 Stagefright Bug 2.0도 포함되어 있습니다. 

(구글은 안드로이드 악성코드 'Stagefright'가 발견된 이후 매월 보안 업데이트를 배포해오고 있습니다.)



취약점 

 CVE

위험도

Remote Code Execution Vulnerabilities in libstagefright 

CVE-2015-3873, CVE-2015-3872,CVE-2015-3871, CVE-2015-3868,CVE-2015-3867, CVE-2015-3869, CVE-2015-3870, CVE-2015-3823,CVE-2015-6598, CVE-2015-6599,CVE-2015-6600, CVE-2015-3870,CVE-2015-6601, CVE-2015-3876,CVE-2015-6604

Critical

Remote Code Execution Vulnerabilities in Sonivox

CVE-2015-3874 

Critical

Remote Code Execution Vulnerabilities in libutils 

CVE-2015-3875,CVE-2015-6602

Critical

Remote Code Execution Vulnerability in Skia 

CVE-2015-3877

Critical

Remote Code Execution Vulnerability in libFLAC 

CVE-2014-9082

Critical

Elevation of Privilege Vulnerability in KeyStore 

CVE-2015-3863

High

Elevation of Privilege Vulnerability in Media Player Framework 

CVE-2015-3879

High

Elevation of Privilege Vulnerability in Android Runtime 

CVE-2015-3865

High

Elevation of Privilege Vulnerabilities in Mediaserver  

CVE-2015-6596

High

Elevation of Privilege Vulnerability in Secure Element Evaluation Kit

CVE-2015-6606

High

Elevation of Privilege Vulnerability in Media Projection

CVE-2015-3878

Moderate

Elevation of Privilege Vulnerability in Bluetooth

CVE-2015-3847

Moderate

Elevation of Privilege Vulnerabilities in SQLite

CVE-2015-6607

Moderate

Denial of Service Vulnerabilities in Mediaserver

CVE-2015-6605, CVE-2015-3862

Low


구글 넥서스 기기 사용자들은 OTA로 보안 업데이트를 받을 수 있습니다. 하지만 넥서스가 아닌 다른 휴대폰을 사용하는 사용자들은 단말기 제조사에서 업데이트를 진행 할 때까지 기다리셔야 합니다.


참고 : 

https://groups.google.com/forum/#!topic/android-security-updates/_Rm-lKnS2M8





티스토리 방명록 작성
name password homepage