[4.18 버그리포트] CVE-2016-2423 外

CVE-2016-2423, CVE-2016-2424, CVE-2016-2425
CVE-2016-2426, CVE-2016-2427

[보안뉴스 문가용] 현지 시각으로 4월 17일, 우리나라 시간으로는 대략 17일에서 18일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.

1. CVE-2016-2423
안드로이드 Telephony 4.4.4 이전의 4.x 버전, 5.0.2 이전의 5.0.x 버전, 5.1.1 이전의 5.1.x 버전, 2016-04-01 이전의 6.x 버전에 있는 server/telecom/CallsManager.java에 있는 취약점으로 기기가 제대로 준비가 되어 있는지 확인하지 않는다. 이로써 물리적으로 가까이에 있는 공격자들이 Factory Reset Protection 장치를 우회해 데이터를 삭제할 수 있게 해준다. Internal Bug 26303187과 동일하다.

2. CVE-2016-2424
안드로이드 4.4.4 이전의 4.x 버전, 5.0.2 이전의 5.0.x 버전, 5.1.1 이전의 5.1.x 버전, 2016-04-01 이전의 6.x 버전에 있는 SyncStorageEngine 내 server/content/SyncStorageEngine.java에 있는 취약점으로 공격자들이 조작된 애플리케이션을 통해 DoS 공격을 할 수 있게 해준다. Internal Bug 26513719와 동일하다.

3. CVE-2016-2425
안드로이드 4.4.4 이전의 4.x 버전, 5.0.2 이전의 5.0.x 버전, 5.1.1 이전의 5.1.x 버전, 2016-04-01 이전의 6.x 버전에 있는 AOSP Mail 내 mail/compose/ComposeActivity.java의 취약점으로 file:///data 첨부를 가능하게 한다. 이로써 공격자들이 조작된 애플리케이션을 통해 민감한 정보를 취득할 수 있게 된다. Internal Bug 7154234와 26989185와 동일하다.

4. CVE-2016-2426
안드로이드 4.4.4 이전의 4.x 버전, 5.0.2 이전의 5.0.x 버전, 5.1.1 이전의 5.1.x 버전, 2016-04-01 이전의 6.x 버전에 있는 Framework 요소의 server/content/ContentService.java의 취약점으로 GET_ACCOUNTS 허용을 확인하지 않는다. 이로써 공격자들이 조작된 애플리케이션을 통하여 민감한 정보를 취득할 수 있게 된다. Internal Bug 26094635와 동일하다.

5. CVE-2016-2427
안드로이드 5.0.2 이전의 5.0.x 버전, 5.1.1 이전의 5.1.x 버전, 2016-04-01 이전의 6.x 버전의 Bouncy Castle Crypto APIs 1.54 for Java 내 asn1/cms/GCMParameters.java의 취약점으로 AES-GCM-ICVlen 값이 정확하지 않다. 이로써 공격자들이 암호화 보호 장치를 깨트리기 쉬워진다. Internal Bug 26234568과 동일하다.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)