구글, 고위험 결함에 대한 안드로이드 보안 패치 발표

구글은 안드로이드 운영 체제에서 적극적으로 악용되고 있는 치명적인 제로데이 취약점을 식별하고 패치했습니다.

CVE-2024-32896( CVSS 점수: 7.8)으로 추적되는 이 고위험 취약점은 픽셀 펌웨어의 고위험 권한 상승(EoP) 결함으로 분류됩니다.

권한 상승 취약점은 낮은 권한을 가진 사용자나 앱이 일반적으로 더 높은 권한을 가진 사용자나 앱에 예약된 기능이나 콘텐츠에 접근할 수 있을 때 발생합니다. 악용될 경우, 공격자는 데이터 도용이나 악성 소프트웨어 설치와 같은 행동을 수행할 수 있습니다.

CVE-2024-32896은 안드로이드 프레임워크 구성 요소의 논리 오류와 관련이 있으며, 추가 실행 권한 없이도 로컬 권한 상승을 초래할 수 있다고 NIST 국가 취약점 데이터베이스(NVD)의 버그 설명에 나와 있습니다.

그러나 이 취약점을 악용하려면 사용자 상호작용이 필요합니다.

이 취약점은 6월 픽셀 보안 업데이트에서 처음 보고되었으며, 이때 구글 소속의 픽셀 라인업에 대해서만 패치가 출시되었습니다. 그러나 CVE-2024-32896 결함의 영향은 픽셀 장치에 국한되지 않으며 전체 안드로이드 생태계를 포함합니다.

“CVE-2024-32896이 제한적이고 표적화된 악용의 대상이 될 수 있다는 징후가 있습니다.”라고 구글은 2024년 9월 안드로이드 보안 게시판에서 밝혔습니다.

구글은 일반적으로 이 취약점이 실제로 어떻게 악용되고 있는지에 대한 기술 정보를 제공하지 않았습니다.

잠재적인 악용으로부터 보호하기 위해 모든 안드로이드 사용자가 즉시 장치에 보안 업데이트를 설치할 것을 강력히 권장합니다.

최신 보안 업데이트를 설치하려면 설정 > 시스템 > 소프트웨어 업데이트 > 시스템 업데이트로 이동하십시오.

또는 설정 > 보안 및 개인 정보 > 시스템 및 업데이트 > 보안 업데이트로 이동하여 ‘업데이트 확인’ 버튼을 클릭할 수 있습니다.

CVE-2024-32896 취약점 외에도 구글은 2024년 9월 보안 업데이트에서 안드로이드 프레임워크 및 시스템에 영향을 미치는 또 다른 9개의 고위험 결함을 패치했습니다.