구글, 공격에 적극적으로 사용된 안드로이드 커널 제로데이 취약점 수정

구글은 월요일에 48개의 취약점을 해결하는 2025년 2월 보안 패치를 발표했습니다. 여기에는 공격에서 적극적으로 악용되고 있는 안드로이드 커널의 치명적인 제로데이 취약점이 포함되어 있습니다.

CVE-2024-53104로 추적되는 이 제로데이 결함은 안드로이드 커널의 USB 비디오 클래스(UVC) 드라이버에 영향을 미치는 고위험 문제로 설명되었습니다.

취약점이란?

이 취약점은 안드로이드의 USB 비디오 클래스 드라이버에서 발생하는 권한 상승 보안 결함으로, 악용될 경우 인증된 공격자가 저복잡도의 공격으로 대상 장치에서 권한을 상승시킬 수 있습니다.

제로데이 결함은 uvc_parse_format 함수에 존재합니다. UVC_VS_UNDEFINED 유형 프레임의 잘못된 파싱은 프레임의 버퍼 크기가 잘못 계산되게 할 수 있습니다.

이로 인해 uvc_parse_streaming에서 프레임 버퍼 크기를 계산할 때 이 유형의 프레임이 고려되지 않았기 때문에 경계를 초과하는 쓰기가 발생할 수 있습니다.

이로 인해 공격자가 취약한 안드로이드 전화에서 임의의 코드를 실행하거나 서비스 거부 조건을 유발할 수 있습니다.

“리눅스 커널에서 다음 취약점이 해결되었습니다: media: uvcvideo: uvc_parse_format에서 UVC_VS_UNDEFINED 유형의 프레임 파싱 건너뛰기. 이로 인해 uvc_parse_streaming에서 프레임 버퍼 크기를 계산할 때 이 유형의 프레임이 고려되지 않았기 때문에 경계를 초과하는 쓰기가 발생할 수 있습니다.”라고 권고문에 적혀 있습니다.

“CVE-2024-36971이 제한된 표적 공격에 노출될 수 있다는 징후가 있습니다.”라고 구글은 2025년 2월 월간 안드로이드 보안 권고에서 언급했습니다.

또한 구글은 퀄컴의 WLAN 구성 요소에서 발생한 치명적인 보안 결함인 CVE-2024-45569(CVSS 점수 9.8)를 해결했습니다. 퀄컴은 이 결함이 잘못된 프레임 내용으로 인해 ML IE를 파싱할 때 WLAN 호스트 통신에서 배열 인덱스의 잘못된 검증으로 인해 발생하는 메모리 손상 문제라고 설명합니다. **

패치 릴리스

구글은 2025년 2월 보안 업데이트의 일환으로 2025-02-01 및 2025-02-05 보안 패치 수준의 두 개의 패치 세트를 릴리스했습니다.

구글 픽셀 장치는 보안 업데이트를 즉시 받지만, 다른 제조업체는 다양한 하드웨어 구성과의 호환성을 보장하기 위해 추가 테스트가 필요하기 때문에 지연이 발생할 수 있습니다.

따라서 안드로이드 사용자들은 주요 보안 위협으로부터 장치와 자신을 보호하기 위해 가능한 한 빨리 2025-02-01 및 2025-02-05 보안 패치 수준을 설치할 것을 강력히 권장합니다.