요약 : 지난 11월, 구글의 보안 전문가가 줌(Zoom)이라는 인기 높은 화상 회의 앱에서 제로데이, 제로클릭 취약점을 발견한 바 있다. 디도스, 악성 코드 실행, 임의 메모리 영역 유출과 같은 공격을 가능케 하는 것으로, 석 달이 지난 오늘 취약점 세부 내용이 공개됐다. 취약점이 발견된 곳은 줌 클라이언트와, 온프레미스 환경에서 음성과 영상 콘텐츠를 전송하는 MMR 서버인 것으로 밝혀졌다.
[이미지 = utoimage]
배경 : 문제의 취약점은 2개로 CVE-2021-34423은 CVSS 기준 9.8점짜리 버퍼 오버플로우 취약점이고, CVE-2021-34424는 CVSS 기준 7.5점짜리 메모리 노출 취약점이다. 줌은 11월 24일부터 두 가지 문제를 해결하는 패치를 배포하기 시작했다.
말말말 : “줌은 매우 인기가 높아진 협업 솔루션입니다. 하지만 다른 화상 회상 회의 솔루션들처럼 오픈소스 라이브러리를 사용하지 않고 독자적으로 개발한 프로토콜을 활용합니다. 그래서인지 라이선스 비용이 비싼데, 이런 특성들 때문에 외부 보안 전문가의 연구가 어렵습니다. 좀 더 보안 전문가들에게 문을 열었으면 합니다.” -구글 프로젝트 제로-
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>