VLC 앱에 포함된 라이브러리에서 취약점 다수 발견돼

2020-03-26 11:51
  • 카카오톡
  • 네이버 블로그
  • url
VLC 유지 보수 책임지는 회사가 개발한 라이브러리, libmicrodns
하나는 9.8점 받은 ‘치명적으로 위험한’ 취약점...나머지는 7.5점의 디도스 취약점


[보안뉴스 문가용 기자] 비디오랩스(Videolabs)가 최근 자사 libmicrodns 라이브러리에서 발견된 취약점들을 패치했다. 시스코 탈로스(Cisco Talos) 팀이 분석한 바에 의하면, 이 취약점을 성공적으로 익스플로잇 할 경우 임의 코드 실행 공격과 디도스 공격이 가능하다고 한다.


[이미지 = iclickart]

비디오랩스는 비디오랜(VideoLAN)이라는 소프트웨어 개발 업체의 직원들이 창립한 회사로, 현재 한국에서도 많이 사용되고 있는 VLC 미디어 플레이어 앱의 모바일 버전을 유지 및 보수하고 있다. 취약점이 발견된 libmicrodns는 마이크로 DNS 리졸버 기능을 담당하는 크로스 플랫폼 라이브러리로, 마이크로 DNS 서비스를 탐색해 찾아내는 데에 사용되고 있다.

패치된 취약점들 중 가장 심각한 건 CVE-2020-6072로 CVSS 기준 9.8점을 받았다. 라이브러리 내에 있는 레이블의 구문 분석 기능에서 발견된 취약점으로, 원격에서 코드 실행을 가능하게 해준다고 탈로스 팀이 블로그를 통해 밝혔다(https://blog.talosintelligence.com/2020/03/vuln-spotlight-videolabs-microdns.html).

“마이크로 DNS 메시지들 내에 있는 압축 레이블들을 분석할 때, ‘rr_decode’라는 함수의 반환값이 제대로 확인되지 않습니다. 이 때문에 더블 프리(double free) 취약점이 발동되며, 이를 익스플로잇 할 경우 임의 코드 실행 공격이 가능해집니다. 공격자 입장에서는 특수하게 조작된 마이크로 DNS 메시지를 전송함으로써 익스플로잇을 할 수 있게 됩니다.”

나머지 취약점들은 CVSS 기준 7.5점을 받았다. libmicrodns 라이브러리 내 다른 요소들에서 발견되고 있다. 그 중 하나는 CVE-2020-6071로 라이브러리 내 자원 기록 분석 기능에서 나타나며, 성공적으로 익스플로잇 될 경우 디도스 공격을 가능케 한다.

또 다른 주요 취약점으로는 CVE-2020-6073이 있다. TXT 기록 점검 기능에서 발견된 것으로, 정수 오버플로우 현상을 야기한다. 마이크로 DNS 메시지 내 TXT 기록의 RDATA 부분을 분석할 때 발동된다. 발동 후에는 디도스 공격을 일으킨다고 한다.

디도스를 유발하는 취약점으로는 CVE-2020-6078도 있다. mdns_recv라는 함수가 마이크로 DNS 메시지를 점검할 때 발동된다. mdns_read_header 함수의 반환값이 제대로 확인되지 않기 때문이다. 그 외에 CVE-2020-6079와 CVE-2020-6080 역시 디도스를 일으킬 수 있는 취약점인 것으로 분석됐다.

공격자들은 특수하게 조작한 마이크로 DNS 메시지를 연속적으로 전송함으로써 취약점들을 발동시킬 수 있다. 이러한 오류 소식을 접한 libmicrodns 라이브러리의 개발사 비디오랩스는 패치 배포 노트를 통해 “로컬 디도스 공격을 가능하게 하는 취약점”이라고 주장했다.

탈로스가 위 취약점들을 찾아낸 건 libmicrodns 라이브러리 0.1.0 버전이며, 패치된 버전은 0.1.1 버전이다.
3줄 요약
1. 한국에서도 많이 사용되는 미디어 앱 VLC의 개발사, 주요 라이브러리 패치함.
2. 문제의 라이브러리는 libmicrodns 0.1.0 버전으로, 0.1.1 버전이 패치된 버전.
3. 여러 취약점 중 하나는 9.8점을 받았을 정도로 심각하나 나머지는 7점 대 수준.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 씨프로

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • 아이비젼

    • 아이디스

    • 씨프로

    • 웹게이트

    • 엔토스정보통신

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 지오멕스소프트

    • 원우이엔지

    • 지인테크

    • 홍석

    • 이화트론

    • 다누시스

    • 테크스피어

    • TVT코리아

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 세연테크

    • 비전정보통신

    • 트루엔

    • 경인씨엔에스

    • 한국씨텍

    • 성현시스템

    • 아이원코리아

    • 프로브디지털

    • 위트콘

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 스피어AX

    • 동양유니텍

    • 포엠아이텍

    • 넥스트림

    • 펜타시큐리티

    • 에프에스네트워크

    • 신우테크
      팬틸드 / 하우징

    • 옥타코

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 네티마시스템

    • 아이엔아이

    • 미래시그널

    • 엣지디엑스

    • 인빅

    • 유투에스알

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 새눈

    • 에이앤티글로벌

    • 케비스전자

    • 한국아이티에스

    • 이엘피케이뉴

    • (주)일산정밀

    • 구네보코리아주식회사

    • 레이어스

    • 창성에이스산업

    • 엘림광통신

    • 에이앤티코리아

    • 엔에스티정보통신

    • 와이즈콘

    • 현대틸스
      팬틸트 / 카메라

    • 엔시드

    • 포커스에이아이

    • 넥스텝

    • 인더스비젼

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

시큐리티월드

IP NEWS

회원가입

Passwordless 설정

PC버전

닫기