Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 6월 4일] 주요 보안 이슈
작성일 2020-06-04 조회 534

1. [기사] LG 스마트폰에 부트로더 구성 요소서 보안취약점 발견…사용자 주의
[https://dailysecu.com/news/articleView.html?idxno=109437]
LG전자는 지난 7년 동안 제작된 자사 안드로이드 스마트폰에 영향을 주는 취약점을 지난달 업데이트를 통해 패치했다. 이 취약점은 CVE-2020-12753으로 콜드 부트 공격이라 불리며 LG 스마트폰에 탑재되는 부트로더 컴포넌트에서 발생한다. 올해 3월 미국의 한 엔지니어 맥스 토마스는 LG 넥서스5 시리즈부터 LG 스마트폰에 추가된 부트로더 구성 요소에서 취약점을 발견했다. 그는 공격을 완벽하게 수행하는 위협 행위자는 자신의 커스텀 코드를 실행하여 부트로더 및 본질적으로 전체 장치를 획득할 수 있다고 말했다. 영향받는 기기의 소유자들은 LVE-SMP-200006 업데이트를 적용해야 한다.


2. [기사] 드론 현황 위장 문서파일로 유포되는 악성코드 주의
[https://www.dailysecu.com/news/articleView.html?idxno=109404]
최근 ‘부동산 투자’, ‘코로나19’ 등 다양한 주제를 활용한 악성 문서파일 공격이 발생한 가운데 ‘드론(무인항공기)’ 관련 내용으로 위장한 악성 문서파일이 추가로 발견되어 사용자 주의가 필요하다. 먼저 공격자는 이메일 첨부파일 등으로 ‘드론(무인항공기) 현황 및 개선방안’이라는 제목의 악성 한글 문서 파일을 유포했다. 해당 악성 문서 파일은 자연스러운 우리말 문장으로 내용을 담고 있어 사용자가 악성 문서임을 인지하기 어렵다. 만약 사용자가 최신 보안패치를 하지 않은 한글 프로그램으로 문서 파일을 실행하면 악성코드에 감염되기 때문에 최신 패치를 적용하는 등의 보안수칙 준수를 생활화 해야 한다.


3. [기사] 구글, 6월 정기 보안 패치 통해 안드로이드 취약점 43개 해결
[https://www.boannews.com/media/view.asp?idx=88671&page=1&mkind=1&kind=1]
구글이 안드로이드를 위한 2020년 6월 보안 패치를 배포하기 시작했다. 총 43개의 취약점을 다루고 있는데, 이 중 ‘치명적 위험도’를 가진 것으로 분석된 것도 존재한다. 이 취약점 중 가장 심각한 건 시스템(System)에서 발견된 것으로, CVE-2020-0117과 CVE-2020-8597이다. 익스플로잇에 성공할 경우 임의의 코드를 원격에서 실행할 수 있게 된다고 한다. 이는 모두 안드로이드 8.0~10까지에 영향을 준다. 시스템에서 발견된 모든 취약점은 2020-06-01 보안 패치에서 해결이 됐다. 그 외에도 구글은 픽셀폰에 적용될 보안 패치도 따로 발표했다. 총 118개의 취약점이 해결된 상태라고 한다.


4. [기사] Zoom에서 코드가 실행될 수 있는 2가지 결함 공개
[https://securityaffairs.co/wordpress/104249/hacking/zoom-security-flaws.html]
Cisco Talos의 연구원은 화상 회의 소프트웨어 Zoom에 원격 공격자가 그룹 채팅 또는 개별 수신자의 참가자 시스템을 해킹할 수 있는 두 가지 중요한 취약점을 공개했다. 첫 번째 CVE-2020-6109는 줌이 GIPHY 서비스를 활용하여 사용자가 채팅을 통해 애니메이션 GIF를 검색하고 교환할 수 있도록 하는 방법과 관련이 있다. 두 번째는 CVE-2020-6110 원격 코드 실행 취약성으로, Zoom 애플리케이션의 취약한 버전이 채팅을 통해 공유되는 코드 스니펫을 처리하는 방식으로 거주하고 있다. 두 가지 취약성은 모두 Zoom 버전 4.6.10에 영향을 미치며, 회사는 버전 4.6.12의 출시로 이를 해결했다.


5. [기사] Android 기기와 충돌하는 배경 화면
[https://www.bleepingcomputer.com/news/mobile/this-wallpaper-will-crash-your-android-phone-don-t-try-it/]
특정 호수 그림을 일부 삼성 및 Google Pixel 기기에서 배경 화면으로 설정하면 휴대 전화 화면과 기기가 제대로 작동하지 않는 신비한 현상이 발견됐다. 일부 Android 장치에서 기본적으로 지원되는 sRGB 색상 공간 대신 ​​RGB 색상 공간을 사용함에 따라 충돌을 일으킨다. 이미지를 분석한 결과 명백한 악의적인 페이로드(payload)가 포함되어 있지 않다고 한다. Android의 이미지 구문 분석 클래스에 결함이 있는 경우 DoS(서비스 거부) 공격 가능성이 더 커진다. 삼성은 이 버그에 대한 피드백을 받은 후 문제를 해결했다. 하지만 때에 따라 장치가 완전히 정지되는 경우엔 공장 초기화를 해야 한다.

첨부파일 첨부파일이 없습니다.
태그 LVE-SMP-200006  CVE-2020-0117  Zoom  Google Pixel