1. Android audio codec 취약점
2011년 애플에서 공개한 Apple Lossless Audio Codec(ALAC)에서 버그가 발견되었고, 이후 ALAC는 안드로이드에 오디오 재생을 위한 프로그램에 내장되었다. 해당 취약점으로 인해 안드로이드 RCE가 가능하다.
애플은 해당 취약점을 업데이트하고 패치를 했지만, 공개된 ALAC의 오픈소스는 2011년 이후 업데이트 되지 않아 RCE 가능한 심각한 취약점이 포함이 되어있다.
공격자는 피해자 기기에 잘못된 형식의 오디오 파일을 전송하여 공격자가 안드로이드 기기에서 악성코드를 실행할 수 있다.
해당 버그는 MediaTek과 Qualcomm 칩을 사용하는 안드로이드 기기에 영향을 미친다. Qualcomm은 CVE-2021-30351으로 명명된 버그를 패치했으며, MediaTek도 CVE-2021-0674, CVE-2021-0675로 명명된 버그를 패치했다.
CVE-2021-30351: 음악 재생 중 전달되는 프레임 수에 대한 잘못된 유효성 검사로 OOB 메모리 액세스 발생
CVE-2021-0674: ALAC 디코더에서 잘못된 경계 확인으로 인한 로컬 정보 노출
CVE-2021-0675: ALAC 디코더에서 잘못된 경계 확인으로 인해 범위를 벗어난 쓰기 가능. 이를 통한 로컬 권한 상승 취약점
이들은 지난해 12월에 업데이트를 하고, 구글도 지난 12월에 해당 머그들에 대한 패치를 출시했지만 실제 안드로이드 단말기 제조사가 해당 패치들을 적용하는 것에 달려있다.
'깔짝할짝' 카테고리의 다른 글
| 2022-05-10 Tue (0) | 2022.05.10 |
|---|---|
| 2022-05-09 Mon (0) | 2022.05.09 |
| 2022-04-21 Thur (0) | 2022.04.21 |
| 2022-04-19 Tue (0) | 2022.04.19 |
| 2022-04-14 Thur (0) | 2022.04.14 |