구글, 2월 정기 패치 통해 안드로이드에서 25개 취약점 해결

시스템 요소 내에서 치명적인 취약점 두 개 발견돼...원격 코드 실행 및 정보 노출
픽셀 장비에서 발견된 취약점도 해결돼...전부 퀄컴 요소 내 비디오 및 카메라에 있어

[보안뉴스 문가용 기자] 구글이 2020년 2월분의 안드로이드 공식 보안 패치를 발표했다. 이번 달에는 25개의 취약점이 픽스 됐는데, 그 중 2개는 치명적인 위험도를 가진 것으로 나타났다. 두 가지 취약점 모두 안드로이드 내 시스템(System) 요소에서 발견됐다.

[이미지 = iclickart]

두 가지 취약점 중 하나는 CVE-2020-0022로, 안드로이드 8.0, 8.1, 9 버전에 영향을 주며, 원격 코드 실행을 가능하게 한다. 성공적으로 익스플로잇 했을 경우 피해자에게 디도스 공격을 가할 수 있다. 다른 하나는 CVE-2020-0023이며, 안드로이드 10에서만 나타난다. 성공적인 익스플로잇을 통해 정보 노출 현상이 발생할 수 있다.

구글은 보안 권고문을 통해 “안드로이드의 시스템 요소에서 원격 코드 실행 등 사이버 공격을 가능케 해주는 치명적 취약점이 발견됐다”고 경고하기도 했다.

그 외에 네 가지 취약점들이 시스템에서 추가로 발견되기도 했다. 전부 고위험군에 속한다.
1) CVE-2020-0005 : 권한 상승 취약점, 안드로이드 8.0, 8.1, 9, 10
2) CVE-2020-0026 : 권한 상승 취약점, 안드로이드 8.0, 8.1, 9, 10
3) CVE-2020-0027 : 권한 상승 취약점, 안드로이드 8.0, 8.1, 9, 10
4) CVE-2020-0028 : 정보 노출 취약점, 안드로이드 9

프레임워크(Framework) 요소에서도 7개의 취약점이 발견됐다. 구글에 의하면 이 취약점들 중 특히나 위험한 것으로 분류되는 취약점들은 “공격자가 사용자의 개입 없이 로컬의 악성 앱에 추가 권한을 허용할 수 있게 해준다”고 한다.
1) CVE-2020-0014 : 권한 상승 취약점
2) CVE-2020-0015 : 권한 상승 취약점
3) CVE-2019-2200 : 권한 상승 취약점
4) CVE-2020-0017 : 정보 노출 취약점
5) CVE-2020-0018 : 정보 노출 취약점
6) CVE-2020-0020 : 정보 노출 취약점
7) CVE-2020-0021 : 서비스 마비 취약점

그 외에 12개의 취약점들이 추가로 패치되기도 했다. 이 중 두 개는 커널(Kernel)에서, 여섯 개는 퀄컴(Qualcomm)에서, 네 개는 퀄컴 클로스드소스(Qualcomm closed-source)에서 발견됐다.

뿐만 아니라 구글에서 제작한 장비인 픽셀에 대한 취약점 네 개도 이번 보안 패치와 함께 손봐졌다. 전부 퀄컴 요소들에서 발견됐다.
1) CVE-2019-10572 : 퀄컴 내 비디오
2) CVE-2019-10614 : 퀄컴 내 비디오
3) CVE-2019-14088 : 퀄컴 내 카메라
4) CVE-2019-2301 : 퀄컴 내 커널

3줄 요약
1. 구글, 2월 정기 패치 발표.
2. 안드로이드 취약점은 총 25개가 패치됨. 픽셀에서는 4개.
3. 안드로이드 시스템 요소에서 해결된 치명적인 위험도의 취약점은 2개.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)