세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
소니 TV 제품에서 원격 코드 실행하게 해주는 취약점 발견돼
  |  입력 : 2018-10-11 15:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
세 가지 취약점 중 하나는 치명적으로 위험, 다른 두 개는 고위험군
취약점 결합하면 원격 코드 실행 통해 권한 상승 가능해져


[보안뉴스 문가용 기자] 소니(Sony)에서 만드는 TV 제품들에서 원격 익스플로잇 취약점이 세 개 발견됐다. 보안 업체 포티넷(Fortinet)에서 발견한 것으로, 취약점 세 개 중 하나는 치명적인 위험도를 가지고 있는 것으로 분석됐다. 나머지 둘도 ‘고위험군’에 속해 있다.

[이미지 = iclickart]


치명적인 취약점이라고 분석된 오류는 일종의 명령 주입 취약점으로, 사용자가 미디어 파일을 업로드할 때 파일 이름을 잘못 처리하기 때문에 발생한다고 한다. 포티넷의 보안 전문가 토니 로이(Tony Loi)는 10월 4일자 블로그 포스팅을 통해 “공격자가 이를 악용할 경우 임의의 코드를 관리자 권한으로 실행할 수 있게 된다”고 설명했다.

나머지 두 개의 ‘고위험군’ 오류들은 각각 스택 버퍼 오버플로우와 디렉토리 접근 오류라고 한다. 로이에 의하면 “스택 버프 오버플로우 오류는 일종의 메모리 변형 버그로, 사용자의 입력값 크기를 제대로 확인하지 않아서 발생”하며, “디렉토리 접근 오류는 파일 이름을 다루는 애플리케이션에서 나타나는 버그”라고 한다.

이를 정리하면 다음과 같다.
1) CVE-2018-16595 : 스택 오버플로우, 고위험군
2) CVE-2018-16954 : 디렉토리 접근, 고위험군
3) CVE-2018-16593 : 명령 주입, 치명적

이 취약점들을 전부 익스플로잇 하면 공격자가 파일 이름을 조작해 임의 명령을 시스템 내에서 실행하고, 이를 통해 루트 권한을 가져갈 수 있게 된다.

로이는 블로그를 통해 “이 취약점들은 소니의 고유 애플리케이션 중 하나인 포토 셰어링 플러스(Photo Sharing Plus)에 있다”며 “원격에서 인증 없이 익스플로잇을 할 수 있게 해주는 오류들이므로 소니 TV 고객들이라면 최대한 빨리 패치를 적용해야 할 것”이라고 권고했다.

지난 달 소니는 자사의 브라비아 스마트 TV(Bravia Smart TV) 장비들에서 발견된 여러 취약점들에 대한 패치와 권고문을 발표하기도 했다.

한편 보안 전문가들은 스마트 장비를 통한 해커들의 공격도 큰 위협이지만, 스마트 장비 생산자들이 의도적이든 실수로든 수집하게 되는 고객들의 개인정보도 소비자 입장에서는 만만치 않은 위협이라고 지적한다.

특히 최근 들어 장비 제조사 혹은 솔루션 개발사들이 자주 약관을 변경하는 등의 방법으로 사용자가 실제적으로는 동의할 수 없는 상황에서 개인정보를 수집하는 사례가 늘어나고 있기 때문에, 소비자 한 사람 한 사람이 프라이버시 침해에 대해 보다 민감해져야 한다고 보안 전문가들은 설명한다.

3줄 요약
1. 소니 TV의 포토 셰어링 플러스 소프트웨어에서 취약점 세 개 발견.
2. 세 개 중 1개는 치명적으로 위험, 2개는 고위험군.
3. 소비자들은 빨리 업데이트 하면서 동시에 프라이버시에 좀 더 민감해질 필요 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)