CVE-2015-6643, CVE-2015-6644, CVE-2015-6645
CVE-2015-6646, CVE-2015-6647

[보안뉴스 문가용] 현지 시각으로 1월 6일, 우리나라 시간으로는 대략 6일에서 7일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.



1. CVE-2015-6643
안드로이드 5.1.1 LMY49F 이전의 5.x 버전, 2016-01-01 이전의 6.0 버전 내 Setup Wizard에 있는 취약점으로 가까운 거리의 공격자가 환경설정을 임의로 수정하거나 리셋 보호 장치를 무시할 수 있게 된다. 인터널 버그 25290269와 동일하다.

2. CVE-2015-6644
안드로이드 5.1.1 LMY49F 이전 버전과 2016.01.01 이전의 6.0 버전의 Bouncy Castle에 있는 취약점으로 공격자가 조작된 앱을 통해 민감한 정보에 접근할 수 있게 해준다. 인터널 버그 24106146과 동일하다.

3. CVE-2015-6645
안드로이드 5.1.1 LMY49F 이전 버전과 2016-01-01 이전의 6.0 버전에 있는 SyncManager의 취약점으로 공격자가 조작된 앱을 통해 DoS 공격을 할 수 있게 해준다. 인터널 버그 23591205와 동일하다.

4. CVE-2015-6646
안드로이드 6.0 2016-01-01 이전 버전의 커널 내 System V IPC implementation에 있는 취약점으로 공격자가 IPC 리소스와 메모리 관리자끼리의 작용을 부적절하게 만들어 DoS 공격을 할 수 있게 해준다. 인터널 버그 22300191과 동일하지만 CVE-2015-7613고는 다르다.

5. CVE-2015-6647
안드로이드 5.1.1 LMY49F 이전의 5.x 버전과 2016-01-01 이전의 6.0 버전에 있는 Widevine QSEE TrustZone 앱의 취약점으로 공격자가 조작된 앱을 통해 QSEECOM에 접근함으로써 권한을 취득할 수 있게 된다. 인터널 버그 24441554와 동일하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>