운영체제의 미디어 서버에 있는 취약점과 루팅 취약점
넥서스 기기에서 다양한 방법 통해 원격으로 익스플로잇

[보안뉴스 주소형] 구글이 12월 보안 취약점 패치를 발표했다. 이번에 발견되어 치료된 취약점의 경우 안드로이드 운영체제의 미디어 서버에 있는 취약점과 운영체제를 임의로 변경할 수 있는 루팅(rooting) 취약점들이다. 이들의 발생지는 넥서스(Nexus) 스마트폰 및 태블릿으로 이메일, 웹페이지, 멀티미디어메시지(MMS), 로그 애플리케이션 등을 통해 안드로이드기기에 원격으로 익스플로잇 될 수 있는 상당히 긴급하고 심각한 수준의 취약점으로 판명됐다.


▲ 현지시간 12월 7일에 발표된 구글의 패치 종류

이번에 발견된 취약점 가운데 안드로이드 운영체제의 미디어 서버에 존재했던 취약점은 오디오 및 비디오 파일을 마음대로 조절할 수 있고 파싱(parsing)까지 가능하다. 파싱은 어떤 데이터들을 원하는 모양으로 만들어낼 수 있다는 걸 의미한다. 따라서 안드로이드 운영체제 사용자들은 바로 최신 버전으로 업데이트해야 한다고 구글은 강조했다. 또한, 패치 발표를 하기 전 시점인 지난 12월 1일에 배포된 안드로이드 머쉬멜로우(Marshmallow) 버전 및 LMY48Z에는 이미 해당 패치들이 적용된 상태라고 덧붙였다.

특히, 오랜만에 신규 모델을 발표한 블랙베리(BlackBerry)는 이번에 처음으로 안드로이드 운영체제를 탑재시켰는데, 이번 구글의 패치 발표로 블랙베리 역시 사용자들에게 최신 버전 업데이트 알림을 발송한 것으로 전해졌다.

한편, 구글의 안드로이드 공식 보안게시판에 가면 각각의 취약점들이 언제, 어떤 연구원에 의해 발견되었는지 등 자세한 내용들이 포스팅되어 있다.
[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>