고위험군 취약점 2개, 중간급 취약점 5개, 저위험군 3개 등
악성 영상 파일 올리고 사용자가 더블클릭 하도록만 유도하면 익스플로잇 돼

[보안뉴스 문가용 기자] 두 개의 고위험군 취약점이 VLC 미디어 플레이어에서 발견됐다. 공격자가 악의적으로 조작된 .mkv 영상 파일을 통해 이 취약점을 익스플로잇 할 경우 피해자의 컴퓨터에 대한 통제권을 가져올 수 있게 된다고 한다. VLC 미디어 플레이어 개발자가 취약점과 패치를 함께 공개했다.


[이미지 = iclickart]

이번에 발표된 VLC 미디어 플레이어 취약점은 총 15개다. 두 개의 고위험군 취약점 외에도 5개의 중간급 취약점과 3개의 저위험군 취약점이 여기에 포함되어 있다. 나머지는 분류되지 않았다. 15개중 11개는 셈믈 시큐리티(Semmle Security)의 안토니오 모랄레스(Antonio Morales)가 찾아냈다고 한다.

모랄레스는 자신이 발견한 오류를 익스플로잇 하는 것이 꽤나 쉬운 일이라고 평가했다. “제가 공격자라면 영상 파일을 트래커 토렌트(tracker Torrent)에 유명 TV 시리즈나 영화 이름으로 올려놓을 겁니다. 많은 사용자들이 토렌트로 영상을 내려 받겠죠? 그리고 거의 대부분 그 파일을 열려고 할 겁니다. 이 행위를 통해 취약점들 전부를 발동시킬 수 있습니다.”

모랄레스는 “CVE-2019-14970이라는 버퍼 오버플로우 취약점이 가장 위험해 보인다”고 짚었다. “MKV demuxer라는 요소에 있는 것으로, .mkv 파일 포맷에 영향을 주는 아웃 오브 바운드 라이트(out-of-bounds write) 성격을 가지고 있는 취약점입니다. 그 다음으로는 CVE-2019-14438이라는 버그가 있습니다. 굉장히 비슷한 건데, 공격자가 피해자의 PC에 접근할 수 있게 해줍니다.”

공격자는 VLC 실행 컨텍스트에서 코드를 실행할 수 있게 된다고 모랄레스는 설명을 이어갔다. “무슨 뜻이냐면 공격자가 실제 정상 사용자가 할 수 있는 모든 행위를 그대로 할 수 있다는 뜻입니다. 사용자의 동의가 필요한 것도 아니고, 사용자에게 들킬 위험도 없이 말이죠. 몇몇 공격 시나리오는 공격자가 PC 전체를 통제하는 것도 가능하게 해줍니다. 사용자의 더블클릭만 유발할 수 있다면 사실 게임이 끝납니다.”

그 외 중간급 위험도를 가진 취약점은 다음과 같다.
1) CVE-2019-14437
2) CVE-2019-14776
3) CVE-2019-14777
4) CVE-2019-14778
5) CVE-2019-14533
이 취약점들 역시 위와 동일한 시나리오로 익스플로잇이 가능하다.

15개 중 2개의 취약점은 아직 CVE 번호가 부여되지 않았으며, 보안 업체 펄스 시큐리티(Pulse Security)의 스콧 벨(Scott Bell)이 발견한 것으로 알려졌다. CVE-2019-13602를 발견한 사람은 이현주라는 보안 전문가, CVE-2019-13962를 발견한 사람은 진유 리우(Xinyu Liu)라는 전문가라고 한다.

이 모든 취약점들을 VLC 개발사인 비디오랜(VideoLAN)이 직접 확인을 마쳤다. 지난 달에는 한 독일 전문가가 VLC에서 치명적으로 위험한 취약점을 찾아냈다고 발표했었는데, VLC가 직접 확인해본 결과 잘못된 보고였다는 게 밝혀졌었다. 이 때문에 VLC는 오류 보고를 보다 철저하게 확인하기 시작했다고 한다.

위 15개의 취약점들이 발견된 버전은 3.0.7.1이다. 이 모두가 패치된 취약점은 3.0.8이다. 자동으로 배포되고 있지 않은데, 미리 패치를 하고 싶은 사용자들이라면 수동으로 최신 버전을 다운로드 받아 설치할 수 있다.

3줄 요약
1. VLC 미디어 플레이어에서 15개의 취약점이 발견되고 패치됨.
2. 고위험군에 속하는 취약점이 두 개, 중간급이 5개. 나머지는 저위험군 혹은 분류 불가능.
3. 대부분 악성 영상 파일을 더블클릭하게 하면 익스플로잇 가능. PC 장악까지 이어질 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>