안드로이드, 2022년 3월 보안 업데이트로 치명적인 취약점 3건 수정

Android's March 2022 security updates fix three critical bugs

 

구글이 2022년 3월 보안 업데이트를 발표해 안드로이드 10, 11, 12의 치명적인 취약점 3가지를 수정했습니다. 이 중 하나는 최신 버전의 모바일 OS를 실행하는 모든 기기에 영향을 미칩니다.

 

CVE-2021-39708로 등록된 이 취약점은 안드로이드의 시스템 컴포넌트에 존재하며, 사용자의 상호 작용이나 추가 실행 권한이 필요하지 않은 권한 상승 취약점입니다.

 

구글은 보안 권고를 통해 아래와 같이 밝혔습니다.

 

"이 중 가장 심각한 이슈는 추가 실행 권한이 없이도 원격으로 권한을 상승시키도록 허용하는 시스템 컴포넌트 내 심각한 보안 취약점입니다. 이 취약점은 사용자와의 상호작용이 없이도 악용이 가능합니다.”

 

다른 두 치명적인 취약점은 CVE-2021-1942, CVE-2021-35110로 등록되었으며 모두 Qualcomm 기반 기기의 공개되지 않은 소스 컴포넌트에 영향을 미칩니다.

 

이 두 가지 취약점의 영향을 받는 Qualcomm 칩셋의 전체 목록은 칩 제조업체의 보안 게시판을 확인하십시오.

 

수정된 취약점에 대한 추가적인 기술 세부 정보는 공개되지 않았습니다. 패치를 적용하지 않은 사용자가 위험에 처할 수 있기 때문입니다.

 

2022년 3월 업데이트에서 수정되는 기타 사항은 아래와 같습니다.

 

안드로이드 런타임(버전 12)의 권한 상승 취약점 1개 (심각도: 보통)

안드로이드 프레임워크(버전 10, 11, 12)의 권한 상승 취약점 5개 (심각도: 높음)

안드로이드 프레임워크(버전 12)의 서비스 거부 취약점 2개 (심각도: 높음)

Media Framework(버전 10, 11, 12)의 정보 공개 취약점 1개 (심각도: 높음)

시스템(버전 10, 11, 12)의 권한 상승 취약점 8개 (심각도: 높음)

시스템(버전 10, 11, 12)의 정보 공개 취약점 1개 (심각도: 높음)

커널의 권한 상승 취약점 4개 (심각도: 높음)

커널의 정보 공개 취약점 1개 (심각도: 높음)

MediaTek 컴포넌트의 취약점 3개 (심각도: 높음)

Qualcomm 컴포넌트의 취약점 10개 (심각도: 높음)

 

매달 그렇듯, 구글은 2022년 3월에 "2022-03-01", "2022-03-05" 두 가지 패치 레벨을 발표했습니다.

 

두 번째 패치 레벨에는 첫 번째 패치의 모든 내용과 모든 기기에는 적용되지 않을 수 있는 타사 폐쇄 소스 및 커널 컴포넌트에 대한 수정 사항이 포함됩니다.

 

따라서 기기 공급업체는 배포 시간을 절약하기 위해 첫 번째 레벨을 푸시하도록 선택할 수 있으며, 그렇다고 사용자가 취약한 상태로 남아있지는 않습니다.

 

안드로이드 10 이전 버전을 사용 중일 경우 지원이 빠른 새 기기로 업그레이드하거나, 최신 AOSP 버전을 기반으로 하는 타사 안드로이드 ROM으로 기존 기기를 플래시하는 것이 좋습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/androids-march-2022-security-updates-fix-three-critical-bugs

https://source.android.com/security/bulletin/2022-03-01

https://www.qualcomm.com/company/product-security/bulletins/march-2022-bulletin